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而 项 涪 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 .商业 .公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 , 因 此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 ”信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 "的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 齐 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 专家。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

Q@ 体系 完整 结构 合理 内容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 计算机、 通信 工程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科 学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 效 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 
年 初 正式 列 和 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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暨 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”成 立 。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 * 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安 全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信和 办) 、 国 家 发 展 和 改革 委员 会 教育 部 、 科 学 技术 部 、 工 
业 和 信息 化 部 及 人 力 资源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 《中 网 办 发 文 [2016J]4 号 )。 为 贯彻 落实 (关于 加 强 网 络 安 全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安 全 学 科 专 业 建 设 和 人 才 
培养 ,促进 网 络 空 间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信息 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空 间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 丛书 基于 “高 等 院 校 信息 安全 专业 系列 教材 "坚实 的 工 
作 基 础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精品 
教材 “中 国 大 学 出 版 社 图 书 奖 " 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 . 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教材 建设 ,学术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 
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没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 , 就 没有 网 络 安 全 。 

为 了 更 多 、 更 快 .更 好 地 培养 网 络 安全 人 才 ,如今 许多 学 校 都 在 努力 培养 
网 络 安全 人 才 , 都 在 下 大 功夫 、 花 大 本 钱 .聘请 优秀 老师 ,招收 优秀 学 生 ,建设 
一 流 的 网 络 空 间 安全 专业 。 

网 络 空 间 安 全 专业 建设 需要 体系 化 的 培养 方案 、 系 统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教材 是 网 络 空间 安全 专业 人 才 培 养 的 关键 。 但 是 ,这 
是 一 项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 广 ， 
至 少 包 括 密码 学 .数学 .计算 机 、 通 信 工 程 、 信 息 工程 等 多 门 学 科 , 因 此 ,其 知 
识 体系 庞杂 ,难以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 ,技术 发 展 更 新 非 
常 快 ,对 环境 和 师资 要 求 也 很 高 。 

“防火 墙 技术 及 应 用 ?是 网 络 空间 安全 和 信息 安全 专业 的 基础 课程 ,全 面 
介绍 防火 墙 技术 及 应 用 知识 。 全 书 共 5 章 。 第 1 章 介 绍 防火 墙 基本 知识 ,第 
2 章 介绍 防火 墙 技术 ,第 3 章 介绍 防火 墙 网 络 部 署 ,第 4 章 介 绍 防火 墙 安全 
功能 应 用 ,第 5 章 介绍 典型 案例 。 

本 书 既 适合 作为 网 络 空间 安全 、 信 息 安 全 等 专业 的 本 科 生 相关 专业 基础 
课程 的 教材 ,也 适合 作为 网 络 安 全 研究 人 员 的 入 门 基础 读物 。 本 书 将 随 着 新 
技术 的 发 展 而 更 新 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 芷 漏 和 不 妥 之 处 ,欢迎 读者 批评 指正 。 
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第 1 意 
防火墙 基本 知识 


本 章 主 要 介绍 防火 墙 的 基础 知识 。 通 过 本 章 的 学 习 , 应 理解 防火 墙 产生 的 原因 、 防 火 
墙 的 历史 及 发 展 趋势 .安全 域 的 基本 概念 和 边界 防御 思想 .防火墙 产品 标准 .下 一 代 防 火 
墙 的 体系 结构 。 


Ti 防火 墙 概述 


1.1.1 ”防火墙 产生 的 原因 


网 络 的 发 展 在 为 人 们 的 工作 和 生活 带 来 极 大 便利 的 同时 也 带 来 各 种 安全 隐患 。 攻 击 
者 利用 网 络 协 议和 软件 安全 漏洞 对 信息 系统 进行 攻击 ;各 种 计算 机 病毒 和 木马 程序 在 网 
络 上 传播 ,危害 信息 系统 ;攻击 者 盗 取 各 种 隐私 信息 ,给 公民 的 财产 造成 巨大 损失 ;日 益 频 
发 的 网 络 安全 问题 给 人们 日 常 工作 和 生活 带 来 极 大 威胁 。 

把 不 同安 全 级 别 的 网 络 相 连接 ,就 产生 了 网 络 边 界 。 例 如 ,企业 内 部 的 网 络 和 外 部 网 
络 就 是 两 种 不 同安 全 级 别 的 网 络 , 这 两 种 不 同安 全 级 别 的 网 络 中 间 就 是 网 络 边 界 。 从 网 
络 安全 技术 的 角度 来 看 ,防火 墙 位 于 网 络 边 界 处 ,是 保护 内 部 网 络 免 遭 外 部 网 络 威胁 的 系 
统 或 者 系统 的 组 合 ,这 些 组 合 可 以 是 硬件 ,软件 或 者 是 软 硬 件 的 组 合 。 其 中 ,软件 形式 的 
防火 墙 安装 灵活 ,便于 升级 扩展 ,但 其 安全 性 受 限 于 操作 系统 平台 ;硬件 形式 的 防火 墙 基 
于 特定 用 途 的 集成 电路 开发 ,性 能 优越 .但 其 可 扩展 性 差 ; 软 硬件 结合 的 防火 墙 性 能 较 高 ， 
也 具有 一 定 的 可 扩展 性 和 灵活 性 。 

网 络 边界 是 安全 防护 的 重要 阵地 ,防火墙 在 不 危及 内 部 网 络 数据 和 其 他 资源 的 前 
提 下 ,人 允许 本 地 用 户 使 用 外 部 网 络 资源 ,并 将 外 部 未 被 授权 的 用 户 屏 项 在 内 部 网 络 之 
外 ,从 而 解决 了 因 内 部 网 络 用 户 连 接 外 部 网 络 所 带 来 的 安全 问题 和 外 部 网 络 中 恶意 的 
攻击 者 恶意 攻击 内 部 网 络 各 种 资源 的 安全 问题 。 防 火 墙 技 术 是 保护 网 络 安全 最 常用 
的 技术 之 一 。 

1.1.2 防火墙 定义 

防火 墙 (firewall) 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 
或 网 络 安全 域 (security zone) 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 


间 信 息 的 唯一 出 入 口 ,能 根据 企业 的 安全 政策 控制 (人 允许、 拒绝 ,监测 ?出 人 网 络 的 信息 流 ， 
且 本 身 具 有 较 强 的 抗 攻击 能 力 。 防 火 墙 结构 示意 图 见 图 1-1。 
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ET 于 


图 1-1 防火 墙 结构 示意 图 


在 2015 年 我 国 发 布 的 编号 为 GB/T 20281 一 2015 国家 标准 (信息 安全 技术 ”防火墙 
安全 技术 要 求 和 测试 评价 方法 ) 中 对 防火 墙 的 定义 为 “部署 于 不 同安 全 域 之 间 , 具 备 网 络 
层 访 问 控制 及 过 滤 功 能 ,并 具备 应 用 层 协议 分 析 、 控 制 及 内 容 检测 等 功能 ,能 够 适用 于 
IPv4、IPv6 等 不 同 的 网 络 环境 的 安全 网 关 产品 ”。 

随 着 技术 的 不 断 进步 ,防火 墙 逐步 发 展 到 下 一 代 防 火 墙 , 下 一 代 防 火 墙 可 以 全 面 应 对 
应 用 层 威胁 ,通过 深入 洞察 网 络 流量 中 的 用 户 、 应 用 和 内 容 , 并 借助 全 新 的 高 性 能 单 路 径 
异 构 并 行 处 理 引 擎 ,能 够 为 用 户 提供 有 效 的 应 用 层 一 体 化 安全 防护 ,帮助 用 户 安全 地 开展 
业务 并 简化 用 户 的 网 络 安全 架构 。 


1.1.3 防火墙 的 作用 


随 着 防火 墙 的 不 断 发 展 ,其 功能 越 来 越 丰富 ,但 是 防火 墙 最 基础 的 两 大 功能 仍然 是 隔 
离 和 访问 控制 。 隔 离 功能 就 是 在 不 同 信任 级 别 的 网 络 之 间 砌 “ 墙 ”, 而 访问 控制 就 是 在 墙 
上 开 “ 门 ”并 派驻 守卫 ,按照 安全 策略 来 进行 检查 和 放行 。 一 个 典型 的 企业 网 防火 墙 部 署 


如 图 1-2 所 示 。 
目 目 目 时 E= 


b= ey 销售 部 a | 


移动 办 公用 户 
1-2 典型 的 企业 网 防火 墙 部 署 示例 


防火 墙 的 主要 作用 通常 包括 以 下 几 点 。 


1. 提供 基础 组 网 和 防护 功能 

防火 墙 能 够 满足 企业 环境 的 基础 组 网 和 基本 的 攻击 防御 需求 。 防 火 墙 可 以 实现 网 络 
连通 并 限制 非法 用 户 发 起 的 内 外 攻击 .比如 黑客 、 网 络 破坏 者 等 ,禁止 存在 安全 脆弱 性 的 
服务 和 未 授权 的 通信 数据 包 进 出 网 络 ,并 对 抗 各 种 攻击 。 
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2. 记录 和 监控 网 络 存 取 与 访问 

作为 单一 的 网 络 接 入 点 ,所 有 进出 信息 都 必须 通过 防火 墙 ,所 以 防火 墙 可 以 收集 关于 
系统 和 网 络 使 用 和 误 用 的 信息 并 做 出 日 志 记 录 。 通 过 防火 墙 可 以 很 方便 地 监视 网 络 的 安 
全 性 ,并 在 异常 时 给 出 报警 提示 。 


3. 限定 内 部 用 户 访问 特殊 站 点 
防火 墙 通过 用 户 身份 认证 (如 IP 地 址 等 ) 来 确定 合法 用 户 ,并 通过 事先 确定 的 完全 检 
查 策略 来 决定 内 部 用 户 可 以 使 用 的 服务 以 及 可 以 访问 的 网 站 。 


4. 限制 暴露 用 户 点 

利用 防火 墙 对 内 部 网 络 的 划分 ,可 实现 网 络 中 网 段 的 隔离 ,防止 影响 一 个 网 段 的 问题 
通过 整个 网 络 传播 ,从 而 限制 了 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 , 同 
时 保护 一 个 网 段 不 受 来 自 网 络 内 部 其 他 网 段 的 攻击 ,保障 网 络 内 部 敏感 数据 的 安全 。 


5. 网 络 地 址 转换 

防火 墙 可 以 作为 部 署 NAT(Network Address Translation ,网 络 地 址 转换 ) 的 逻辑 地 
址 来 缓解 地 址 空间 短缺 的 问题 ,并 消除 在 变换 ISP(Internet Service Provider ,互联 网 服务 
提供 商 ) 时 带 来 的 重新 编 址 的 麻烦 。 

6. 虚拟 专用 网 

防火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技 术 体 系 一 一 虚拟 专用 网 络 
(Virtual Private Network,VPN)。 通 过 VPN 将 企 事业 单位 在 地 域 上 分 布 在 世界 各 地 的 
局 域 网 或 专用 子 网 有 机 联 成 一 个 整体 。 


1.2 ”防火 墙 的 前 世 今 生 


1.2.1 防火墙 发 展 历史 及 分 类 


防火 墙 的 发 展 大 致 经 历 了 第 一 代 、 第 二 代 、 第 三 代 、 第 四 代 、 第 五 代 、 统 一 威胁 管理 和 
下 一 代 防 火 墙 7 个 重要 阶段 。 从 第 一 代 防 火 墙 出 现 至 今 已 有 三 十 多 年 的 历史 ,在 发 展 过 
程 中 ,不 断 发 展 的 网 络 技术 对 防火 墙 也 提出 各 种 新 需求 ,这 些 新 需求 推动 着 防火 墙 向 前 不 
断 发 展演 进 。 下 面 简 要 介绍 防火 墙 的 发 展 历史 。 


1. 第 一 代 防 火 墙 

第 一 代 防 火 墙 采用 静态 包 过 滤 (statics packet filter) 技 术 , 是 依附 于 路 由 器 的 包 过 滤 
功能 实现 的 防火 墙 , 称 为 包 过 滤 防 火 墙 。 随 着 网 络 安全 的 重要 性 和 对 防火 墙 性 能 要 求 的 
提高 ,防火墙 逐 渐 发 展 成 为 一 个 独立 结构 的 有 专门 功能 的 设备 。 包 过 滤 防 火 墙根 据 定 义 
好 的 过 滤 规 则 审查 每 个 数据 包 ,以便 确定 其 是 否 与 某 一 条 包 过 滤 规 则 相 匹 配 。 包 过 滤 类 
型 的 防火 墙 遵 循 "最 小 特权 原则 ”, 即 允许 管理 员 通 过 设 定 策略 决定 数据 包 是 否 能 通过 防 
火 墙 。 
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2. 第 二 代 防 火 墙 

贝尔 实验 室 在 1989 年 推出 第 二 代 防 火 墙 。 第 二 代 防 火 墙 也 称 电路 层 防火 墙 , 通 过 使 
用 TCP 连接 将 可 信任 网 络 中 继 到 非 信任 网 络 来 工作 ,但 是 客户 端 和 服务 器 之 间 是 不 会 直 
接连 接 的 。 电 路 层 防火 墙 不 能 感知 应 用 协议 ,必须 由 客户 端 提供 连接 信息 。 


3. 第 三 代 防 火 墙 
贝尔 实验 室 在 1989 年 同时 提出 了 第 三 代 防 火 墙 , 也 就 是 应 用 层 防火 墙 ( 也 称 代 理 防 
火 墙 ) 的 初步 结构 。 应 用 层 防 火 墙 通过 代理 服务 实现 防火 墙 内 外 计算 机 系统 的 隔离 。 


4. 第 四 代 防 火 墙 

1992 年 ,美国 南 加 利 福 尼 亚 大 学 信息 科学 院 的 Bob Braden 开发 了 基于 动态 包 过 滤 
(dynamic packet filter) 技 术 的 第 四 代 防 火 墙 。 这 一 类 型 的 防火 墙 采用 动态 设置 包 过 滤 规 
则 的 方法 ,避免 了 静态 包 过 滤 技 术 的 问题 ,依据 设 定 好 的 过 滤 逻 辑 , 检 查 数据 流 中 的 每 个 
数据 包 , 根 据 数据 包 的 源 地址 .目标 地 址 以 及 数据 包 所 使 用 的 端口 确定 是 否 允 许 该 类 型 的 
数据 包 通 过 。1994 年 ,市 面 上 出 现 了 第 四 代 防 火 墙 产 品 , 即 以 色 列 CheckPoint 公司 推出 
的 基于 这 种 技术 的 商业 化 产品 。 


5. 第 五 代 防 火 墙 

1998 年 ,NAI 公司 推出 了 一 种 自 适应 代理 (adaptive proxy) 技 术 , 并 在 其 产品 Gaunt- 
let Firewall for NT 中 得 以 实现 ,给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 ,人 们 将 其 称 为 
第 五 代 防 火 墙 。 

6. 统一 威胁 管理 

2004 年 ,国际 数据 公司 (IDC) 提 出 统一 威胁 管理 (United Threat Management， 
UTM) 的 概念 ,即将 防 病毒 、 入 侵 检测 和 防火 墙 安全 设备 划 归 统一 威胁 管理 。 从 这 个 定义 
上 来 看 ,IDC 既 提 出 了 UTM 产品 的 具体 形态 ,又 涵盖 了 更 加 深远 的 逻辑 范畴 。 从 定义 的 
前 半 部 分 来 看 ,众多 安全 厂商 提出 的 多 功能 安全 网 关 、 综 合 安全 网 关 、 一 体 化 安全 设备 等 
产品 都 可 被 划 归 到 UTM 产品 的 范畴 ;而 从 定义 的 后 半 部 分 来 看 ,UTM 的 概念 还 体现 出 
信息 产业 经 过 多 年 发 展 之 后 对 安全 体系 的 整体 认识 和 深刻 理解 。 

2004 年 后 ,UTM 市 场 得 到 了 快速 的 发 展 ,但 也 面临 新 的 问题 。 首 先是 应 用 层 信 息 的 
检测 程度 受到 限制 ;其 次 是 性 能 问题 ,因为 UTM 中 多 个 功能 同时 运行 ,设备 的 处 理性 能 
将 会 严重 下 降 。 

7. 下 一 代 防 火 墙 

2008 年 ,Palo Alto Networks 公司 发 布 了 下 一 代 防 火 墙 ,解决 了 多 个 功能 同时 运行 
时 性 能 下 降 的 问题 ,同时 还 可 基于 用 户 、 应 用 和 内 容 进行 管控 。 

2009 年 ,权威 咨询 机 构 Gartner 提出 了 以 应 用 感知 和 全 栈 可 视 化 、 深 度 集成 IPS、 适 
用 于 大 企业 环境 并 集成 外 部 安全 智能 为 主要 技术 特点 的 下 一 代 防 火 墙 产 品 定义 雏形 ,这 
是 “下 一 代 防 火 墙 ?这 一 技术 名 词 被 首次 提出 。 

Gartner 在 这 份 名 为 Defining the Nezxt-Generation Firewall 的 报告 中 提出 了 以 下 
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重要 观点 : 

(1) 下 一 代 防 火 墙 应 具备 对 网 络 应 用 的 感知 和 识别 能 力 , 实 现 完全 抛 开 协议 端口 的 
应 用 可 视 化 和 应 用 控制 。 

(2) 集成 具有 高 质量 的 IPS 引擎 和 特征 码 , 是 下 一 代 防 火 墙 的 一 个 重要 特征 ,IPS 应 
被 深度 集成 到 下 一 代 防 火 墙 中 ,和 应 用 识别 能 力 一 样 ,成 为 下 一 代 防 火 墙 的 一 个 基本 能 
力 ,而 并 非 将 这 些 功 能 简单 堆砌 并 独立 管理 ,独立 运行 。 

(3) 下 一 代 防 火 墙 包含 基础 防火 墙 的 全 部 功能 ,并 深度 集成 了 IPS 功能 。 随 着 传统 
防火 墙 \IPS 的 自然 更 新 ,一 部 分 用 户 可 以 考虑 使 用 下 一 代 防 火 墙 蔡 代 传统 防火 墙 或 IPS 
设备 。 

(4) 下 一 代 防 火 墙 并 不 是 以 中 小 企业 用 户 为 主要 目标 市 场 的 多 功能 防火 墙 或 统一 威 
胁 管理 设备 。 

阻 断 越权 访问 和 恶意 连接 ,并 提供 可 预测 的 功能 ,是 用 户 对 安全 网 关 设备 最 基本 的 功 
能 预期 。 通 过 设置 适当 的 安全 策略 ,对 企业 的 业务 流量 进行 最 小 特权 和 白 名 单 模式 的 放 
行 ,并 实时 检测 存在 于 被 允许 流量 中 的 威胁 ,是 安全 网 关 产 品 部 署 的 最 佳 实践 。 下 一 代 防 
火 墙 出 现 的 原动力 是 为 了 在 新 的 威胁 环境 下 更 好 地 满足 上 述 要 求 。 传 统 的 防火 墙 、 统 一 
威胁 管理 产品 在 越 来 越 多 的 场景 下 呈现 出 以 下 不 足 : 

(1) 基于 网 络 层 操作 的 传统 防火 墙 只 能 根据 数据 的 IP 地址、 协议、 端口 信息 来 检测 
流量 。 随 着 网 络 应 用 的 爆炸 式 发 展 ,以 及 大 量 应 用 程序 建立 在 HTTP 或 HTTPS 等 协议 
之 上 ,传统 防火 墙 已 无 法 满足 用 户 对 业务 流量 可 视 和 可 控 的 需求 。 

(2) 漏洞 利用 、 间 谍 软 件 、 伪 尸 网 络 等 应 用 层 攻击 已 成 为 主流 ,此 类 攻击 能 够 以 业务 
流量 为 载体 ,传统 防火 墙 依靠 数据 包头 异常 、 连 接 频 度 等 检测 手段 已 无 法 识别 此 类 威胁 ， 
利用 IPS 引擎 对 数据 包 的 载荷 部 分 进行 深入 检测 已 成 为 必要 手段 。 

(3) 在 下 一 代 防 火 墙 提出 之 前 ,市 场 上 已 存在 集 多 种 安全 功能 于 一 体 的 安全 网 关 设 
备 ,但 由 于 功能 的 简单 堆砌 ,设备 在 开启 较 多 安全 功能 之 后 性 能 衰减 严重 ,并 不 能 满足 大 
企业 环境 对 安全 设备 性 能 可 预测 性 的 需要 。 

从 市 场 需求 来 看 ,下 一 代 防 火 墙 顺应 安全 局 势 而 生 ,新 产品 品类 的 出 现 已 是 必然 。 

近 些 年 ,各 个 安全 厂商 也 推出 了 各 自 的 下 一 代 防 火 墙 产品 ,防火墙 进入 了 一 个 新 的 时 
代 。 业 界 对 下 一 代 防 火 墙 也 有 了 更 准确 的 定义 : 下 一 代 防 火 墙 是 部 署 于 两 个 或 多 个 计算 
机 网 络 间 ,以 应 用 .用 户 和 内 容 识别 为 基本 能 力 ,在 对 网 络 流量 深度 可 视 化 的 基础 上 ,通过 
统一 策略 管理 确保 在 网 络 间 安 全 启用 应 用 的 安全 设备 。 此 外 ,下 一 代 防 火 墙 应 提供 多 维 
的 信息 关联 ,具有 风险 感知 .异常 分 析 和 事件 回溯 功能 ,并 能 与 外 部 的 智能 系统 联动 。 


1.2.2 防火墙 的 新 技术 趋势 
未 来 几 年 ,下 一 代 防 火 墙 的 技术 发 展 趋势 将 重点 体现 在 以 下 方面 。 


1. 应 用 识别 能 力 提升 
在 “互联 网 十 ?时代 ,网 络 应 用 的 发 展 空 前 繁盛 ,网 络 中 的 应 用 数量 呈 几 何 级 数 增长 。 
下 一 代 防 火 墙 要 向 用 户 提供 深度 可 视 化 和 精细 化 控制 的 功能 ,必须 建立 在 对 网 络 应 用 和 
5 


mm 防火墙 技术 及 应 用 El 


应 用 内 容 全 面 ,准确 识别 的 基础 之 上 。 因 此 ,下 一 代 防 火 墙 对 网 络 流量 的 识别 广度 、 深 度 
和 精度 将 随 着 应 用 数量 复杂 程度 的 变化 而 持续 提升 。 


2. 可 视 化 能 力 提升 

随 着 威胁 环境 的 变化 ,安全 能 力 正在 由 防范 为 主 向 快速 检测 和 响应 能 力 的 构建 转换 。 
实现 安全 启用 应 用 ,首先 应 "看见 "应 用 ,其 次 是 在 此 基础 上 持续 监控 和 感知 应 用 的 风险 、 
异常 变化 等 ,这 些 信息 将 为 制定 适合 企业 业务 的 安全 策略 提供 基础 的 决策 依据 。 下 一 代 
防火 墙 对 于 网 络 流量 \ 应 用 风险 和 情境 的 可 见 性 将 直接 决定 其 安全 性 和 有 效 性 。 未 来 ,下 
一 代 防火 湾 将 持续 提升 其 可 视 化 能 力 ,以 满足 用 户 要 求 越 来 越 高 的 网 络 全 局 "能 见 度 "的 
需求 。 

3. 智能 化 程度 提升 

安全 防护 正 逐 步 从 * 个 体 或 单个 组 织 * 的 防护 方式 转变 为 "安全 情报 驱动 "的 信息 共享 
和 集体 协作 方式 。 依 靠 下 一 代 防火 墙 单 点 的 防护 并 不 足以 实现 安全 ,下 一 代 防 火 墙 会 融 
合 更 加 让 富 的 安全 功能 ,并 与 其 他 外 部 的 安全 智能 系统 实现 无 维 联 动 , 如 联动 沙 箱 、 威 胁 
情报 检测 ,基于 云 计算 的 安全 信誉 机 制 . 基 于 大 数据 的 异常 行为 分 析 技术 等 ,以 提高 其 对 
策略 执行 的 判断 力 和 事件 响应 的 智能 化 程度 ， 


4. 处 理性 能 提升 

下 一 代 防 火 墙 需要 处 理 的 安全 事务 将 会 越 来 越 复杂 。 当 前 下 一 代 防 火 墙 的 最 大 处 理 
性 能 可 适用 于 大 型 企业 网 ,数据 中 心 等 场景 。 要 满足 大 型 数据 中 心 .运营 商 网 络 环境 的 更 
高 性 能 要 求 ,必须 优化 软 硬 件 架构 ,并 持续 提高 应 用 层 处 理性 能 和 安全 检测 性 能 。 


5. 防火 墙 云端 虚拟 化 

随 着 云 计算 技术 的 逐步 成 熟 和 应 用 , 越 来 越 多 的 应 用 和 服务 由 云端 提供 。 用 户 可 以 
根据 需求 租用 或 者 购买 云端 提供 的 虚拟 化 防火 墙 服务 ,而 不 是 购买 防火 墙 硬件 设备 部 署 
在 网 络 边界 。 云 端 虚拟 化 技术 不 仅 是 防火 墙 发 展 的 趋势 ,也 是 各 种 应 用 和 服务 发 展 的 趋 
势 。 目 前 ,防火 墙 和 WAF(Web Application Firewall, Web 应 用 防火 墙 ) 等 设备 也 趋向 云 
端 虚拟 化 ,云端 虚拟 化 的 防火 墙 和 WAF 可 以 在 云 环 境 中 实现 无 颖 迁移 .弹性 调配 资源 等 
功能 ,达到 为 云 中 租户 提供 快速 有效 的 边界 安全 防护 的 目的 。 


13 安全 域 和 边界 防御 思想 


1.3.1 安全 域 


随 着 网 络 系统 规模 逐渐 扩大 ,结构 越 来 越 复杂 ,组 网 方式 随意 性 增强 ,缺乏 统一 规划 ， 
扩展 性 差 ;网 络 区 域 之 间 边界 不 清晰 , 互 连 互通 没有 统一 控制 规范 ;业务 系统 各 自 为 政 , 与 
外 网 之 间 存 在 多 个 出 口 ,无 法 统一 管理 ;安全 防护 策略 不 统一 ,安全 防护 手段 部 署 原 则 不 
明确 ;对 访问 关键 业务 的 不 可 信和 终端 接 入 网 络 的 情况 缺乏 有 效 控制 。 针 对 上 述 问题 ,提出 
安全 域 这 一 概念 。 安 全 域 是 一 种 思路 方法 , 它 通 过 把 一 个 复杂 巨 系 统 的 安全 保护 问题 分 
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解 为 更 小 的 ,结构 化 的 .区 域 的 安全 保护 问题 ,按照 “统一 防护 、 重 点 把 守 ,、 纵 深 防御 ”的 原 
则 ,实现 对 系统 的 分 域 . 分 级 的 安全 保护 。 

网 络 安全 域 是 指 同 一 系统 内 根据 信息 的 性 质 、 使 用 主体 .安全 目标 和 策略 等 要 素 的 不 
同 来 划分 的 不 同 逻辑 子 网 或 网 络 ,每 一 个 安全 域内 部 有 相同 的 安全 保护 需求 ,互相 信任 ， 
具有 相同 的 安全 访问 控制 和 边界 控制 策略 ,并 且 相 同 的 网 络 安全 域 共享 一 样 的 安全 策略 。 
安全 域 划分 示例 如 图 1-3 所 示 。 
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审计 服务 器 “补丁 管理 入 侵 答 测 村 
服务 器 服务器。 “人 中心 
支撑 域 


1-3 ”安全 域 划 分 示意 图 


网 络 安全 域 的 划分 是 基于 网 络 进行 安全 建设 的 部 署 依据 ,也 是 网 络 安全 检查 和 评估 
的 基础 。 网 络 安全 域 边界 是 网 络 安全 的 关键 防护 点 ,也 是 灾难 发 生 时 的 有 效 抑制 点 。 


1.3.2 ”边界 防御 思想 


网 络 安全 域 间 的 连接 通过 网 络 来 实现 ,这 样 便 产 生 了 网 络 边界 。 要 保护 本 安全 域 的 
安全 ,抵御 网 络 外 界 的 入侵 ,就 要 在 网 络 边界 建立 可 靠 的 安全 防御 措施 。 边 界 安全 的 目标 
是 确保 数据 的 机 密 性 、 完 整 性 和 可 用 性 ,因此 ,任何 可 能 影响 到 数据 的 机 密 性 、 完 整 性 和 可 
用 性 的 行为 均 视 为 威胁 ,网 络 边 界 的 威胁 主要 体现 为 越权 访问 、 扫 描 攻击 .DoS/DDoS 攻 
击 、 计 算 机 病毒 等 形式 。 

网 络 边界 防御 最 早 使 用 隔离 控制 的 思想 ,网 络 隔离 最 初 形式 为 网 段 的 隔离 ,因为 不 同 
网 段 间 是 通过 路 由 器 连通 的 ,为 了 限制 某 些 网 段 间 不 互通 或 有 条 件 地 互通 ,出 现 了 访问 控 
制 技术 ,也 就 是 防火 墙 。 防 火 墙 作为 重要 的 边界 防护 设备 ,通常 被 放置 在 网 络 边界 来 抵御 
各 种 网 络 攻击 ,希望 通过 防火 墙 将 攻击 拦截 在 外 网 。 但 随 着 网 络 的 不 断 扩 大 和 发 展 ,网 络 
的 防线 越 来 越 长 ,网络 威胁 更 复杂 、 更 精细 、\ 更 狭 诈 : 当今 的 网 络 威胁 几乎 全 部 来 自 应 用 
层 ,与 传统 基于 第 三 .四 层 的 攻击 相 比 更 加 变幻 莫 测 ;网 络 攻击 常 被 拆 分 为 多 个 环节 ,隐蔽 
性 更 强 ; 此 外 ,当今 的 安全 事件 大 部 分 来 自 多 个 层面 ,利用 多 种 形式 的 复合 攻击 。 

在 新 的 威胁 环境 下 ,防御 的 思路 和 手段 需要 改变 ,以 隔离 控制 为 中 心 的 传统 防火 墙 已 
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经 无 法 应 对 各 种 新 型 安全 威胁 了 ,还 需要 防火 墙 在 守住 大 门 的 情况 下 再 实现 检测 响应 。 
防火 墙 需要 提升 快速 检测 和 响应 能 力 。 另 外 ,防火 墙 的 单 设备 防护 力量 有 限 ,需要 和 设备 
协同 联动 。 

对 此 ,360 新 一 代 智慧 防火 墙 提 出 : 采用 基于 网 络 的 检测 与 响应 (Network Detection 
Response,NDR) 体 系 在 网 络 边 界 上 进行 检测 与 响应 。NDR 可 以 在 攻击 发 生 时 尽早 地 发 
现 . 检 测 以 及 进行 对 应 处 理 , 因 为 在 攻击 发 生 的 一 开始 ,并 不 一 定 会 造成 非常 严重 的 破坏 ， 
网 络 安全 运 维 人 员 就 能 及 时 地 阻 断 攻击 并 进行 有 效 的 管控 。 所 以 下 一 代 防 火 墙 在 功能 上 
已 经 不 仅仅 是 包 过 滤 , 还 要 求 检测 用 户 通过 网 络 访问 到 底 干 了 什么 ,在 网 络 上 进行 威胁 检 
测 和 快速 响应 处 置 。360 新 一 代 智 慧 防火 墙 结合 360 大 数据 挖掘 技术 及 360 在 数据 安全 
分 析 中 的 积累 ,通过 云 管 端的 协同 联动 ,形成 了 由 大 数据 驱动 、 基 于 网 络 的 检测 与 响应 体 
系 , 在 网 络 边 界 实现 针对 高 级 威胁 的 闭环 防御 ,如 图 1-4 所 示 。 
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图 1-4 基于 NDR 安全 体系 的 高 级 威胁 闭环 防御 


NDR 通过 对 网 络 流量 产生 的 数据 进行 多 手段 检测 和 关联 分 析 ,主动 感知 传统 防护 手 
段 无 法 发 现 的 高 级 威胁 ,进而 执行 高 效 的 分 析 和 回溯 ,并 智能 地 输出 预警 信息 和 处 置 建 
议 ,实现 对 高 级 威胁 的 闭环 式 管理 。 

360 新 一 代 智 慧 防火 墙 系统 作为 NDR 安全 体系 中 的 重要 环节 ,利用 对 用 户 自身 网 络 
的 数据 识别 和 行为 识别 能 力 , 并 利用 云端 基于 特征 的 已 知 威胁 、 基 于 沙 箱 的 未 知 威胁 检 
测 、 基 于 威胁 情报 的 失陷 主机 发 现 和 基于 安全 模型 的 未 知 威胁 发 现 能 力 ,结合 防火 墙 安 全 
管理 分 析 中 心 (Security Management Analysis Center,SMAC) 的 多 维度 关联 分 析 和 递 进 
式 数 据 钻 取 能 力 , 可 以 直观 展现 未 知 威胁 行为 的 跟踪 、 定 位 、 处 置 ,完成 对 高 级 威胁 的 一 键 
式 处 置 .策略 优化 以 及 安全 事件 的 溯源 取证 。 


1.3.3 防火墙 部 署 方式 


部 署 防火 墙 时 ,首先 要 规划 安全 域 ,明确 不 同等 级 安全 域 相 互 访问 的 安全 策略 ,然后 
确定 防火 墙 的 部 署 位 置 以 及 防火 墙 接口 的 工作 模式 。 防 火 墙 上 通常 预定 义 了 3 类 安全 
域 : 受信 区 域 (trust) , 非 军事 化 区 域 (Demilitarized Zone,DMZ) 和 非 受 信 区 域 (untrust) ， 
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用 户 可 以 根据 需要 自行 添加 新 的 安全 域 ,如 图 1-5 所 示 。 


Web 服 务 器 、Mail 服 务 器 、 


SS 


内 部 网 络 (受信 区 域 ) DMZ 外 部 网 络 ( 非 受信 区 域 ) 


1-5 防火墙 预 定义 的 3 类 安全 域 


受信 区 域 通 常用 于 定义 企 事业 用 户 内 部 网 络 所 在 区 域 。 

非 受信 区 域 通常 是 指 外 部 网 络 的 Internet 区 域 。 

DMZ 也 称 为 隔离 区 ,是 为 了 解决 安装 防火 墙 后 外 部 网 络 不 能 访问 内 部 网 络 服务 器 的 
问题 而 设立 的 一 个 非 安全 系统 与 安全 系统 之 间 的 缓冲 区 ,这 个 缓冲 区 是 不 同 于 外 网 或 内 
网 的 特殊 网 络 区域 , 通 常 放置 一 些 不 含 机 密 信 息 的 公用 服务 器 ,比如 Web 服务 器 .Mail 
服务 器 .FTP 服务 器 等 。 这 样 来 自 外 网 的 访问 者 可 以 访问 DMZ 中 的 服务 ,但 不 可 能 接触 
到 存放 在 内 网 中 的 公司 机 密 或 私人 信息 等 。 即 使 DMZ 中 的 服务 器 受到 破坏 ,也 不 会 对 
内 网 中 的 机 密 信 息 造成 影响 。 

当 规划 一 个 拥有 DMZ 的 区 域 时 候 , 可 根据 策略 确定 各 个 网 络 之 间 的 访问 关系 ,目前 
DMZ 的 访问 控制 策略 如 表 1-1 所 示 。 


访问 控制 策略 


表 1-1 DMZ 的 访问 控制 策略 
策略 说 明 


内 网 可 以 访问 外 网 


内 网 的 用 户 显然 需要 自由 地 访问 外 网 。 在 这 一 策略 中 ,防火 墙 需要 进行 源 地 
址 转换 


内 网 可 以 访问 DMZ 


此 策略 是 为 了 方便 内 网 用 户 使 用 和 管理 DMZ 中 的 服务 器 


外 网 不 能 访问 内 网 


内 网 中 存放 的 是 公司 内 部 数据 ,这 些 数据 不 允许 外 网 的 用 户 进行 访问 


外 网 可 以 访问 DMZ 


DMZ 中 的 服务 器 本 身 就 是 要 给 外 界 提供 服务 的 ,所 以 外 网 必须 可 以 访问 
DMZ。 同 时 ,外 网 访问 DMZ 需要 由 防火 墙 完成 对 外 地 址 到 服务 器 实际 地 址 
的 转换 


DMZ 不 能 访问 内 网 


如 果 违 背 此 策略 , 则 当 入 侵 者 攻陷 DMZ 时 ,就 可 以 进一步 进攻 内 网 的 重要 
数据 


DMZ 不 能 访问 外 网 


此 策略 也 有 例外 ,比如 DMZ 中 放置 邮件 服务 器 时 就 需要 访问 外 网 ,否则 将 不 
能 正常 工作 
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14 ”防火 墙 产 品 标 准 


1.4.1 防火墙 产 品 性 能 指标 


性 能 是 产品 设备 选 型 必须 考虑 的 因素 ,不 同 的 防火 墙 产 品 有 不 同 的 性 能 。 判 断 一 个 
防火 墙 产品 的 性 能 主要 依靠 网 络 吞 吐 量 .并 发 连接 数 、 新 建 连接 速率 和 应 用 层 性 能 指标 4 
个 性 能 指标 。 


1. 网 络 吞吐 量 

网 络 吞 吐 量 是 衡量 一 款 防 火 墙 或 者 路 由 交换 设备 最 重要 的 指标 , 它 是 指 网 络 设备 每 
秒 处 理 数据 包 的 最 大 能 力 。 吞 吐 量 意味 着 这 台 设 备 每 秒 能 处 理 的 最 大 流量 或 者 每 秒 能 处 
理 的 数据 包 个 数 。 网 络 吞 吐 量 越 高 ,能 提供 给 用 户 使 用 的 带宽 越 大 ,就 像 木 桶 原理 所 描述 
的 ,网 络 的 最 大 吞吐 量 取决 于 网 络 中 的 最 小 吞吐 量 设备 。 足 够 的 网 络 吞 吐 量 可 以 保证 防 
火 墙 不 会 成 为 网 络 的 瓶颈 。 

网 络 吞 吐 量 的 计量 有 两 种 方式 : 一 种 是 带宽 计量 ,单位 是 Mb/s(Megabits per sec- 
ond) 或 者 Gb/s(Gigabits per second); 另 一 种 是 数据 包 处 理 量 计 量 ,单位 是 pps(packets 
per second) 。 这 两 种 计量 方式 可 以 相互 换算 。 在 对 一 款 设备 进行 吞吐 性 能 测试 时 ,通常 
会 记录 一 组 64 一 1518B 的 测试 数据 ,每 一 个 测试 结果 均 有 对 应 的 pps 数 。 

对 于 中 小 型 企业 ,选择 网 络 知 吐 量 为 千 兆 级 的 防火 墙 即 可 满足 需要 ;而 对 于 电信 , 金 
融 、 保 险 等 大 企业 部 门 ,就 需要 采用 网 络 吞 吐 量 为 万 兆 级 的 防火 墙 产 品 。 网 络 吞 吐 量 测试 
主要 应 用 于 评判 设备 性 能 高 低 。 


2. 并 发 连接 数 

并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 因 为 防火 墙 是 唯一 出 口 ,所 有 用 户 
都 要 通过 防火 墙 上 网 ,用户 需 要 打开 很 多 窗口 或 Web 页 面 ( 即 会 话 ) ,防火墙 能 处 理 的 最 
大 会 话 数 量 就 是 并 发 连接 数 。 

最 大 并 发 连接 数 是 指 防 火 墙 或 代理 服务 器 对 其 业务 信息 流 的 处 理 能 力 ,是 防火 墙 能 
够 同时 处 理 的 点 对 点 连接 的 最 大 数目 . 它 能 反映 防火 墙 设备 对 多 个 连接 的 访问 控制 能 力 
和 连接 状态 跟踪 能 力 ,这 个 参数 的 大 小 直接 影响 防火 墙 能 支持 的 最 大 信息 点 数 。 

像 路 由 器 的 路 由 表 存 放 路 由 信息 一 样 ,状态 检测 防火 墙 也 有 一 个 并 发 连接 表 , 用 于 存 
放 并 发 连接 信息 , 它 可 在 防火 墙 系统 启动 后 动态 分 配 进 程 的 内 存 空 间 , 其 大 小 也 就 是 防火 
墙 所 能 支持 的 最 大 并 发 连接 数 。 大 的 并 发 连接 表 可 以 增 大 防火 墙 最 大 并 发 连接 数 ,允许 
防火 墙 支持 更 多 的 客户 终端 ;但 是 ,过 大 的 并 发 连接 表 也 会 带 来 一 定 的 负面 影响 ,会 增加 
对 系统 内 存 资 源 的 消耗 。 并 发 连接 数 的 设 定 要 考虑 CPU 的 处 理 能 力 。 

3. 新 建 连接 速率 

新 建 连接 速率 指 防火 墙 每 秒 能 够 处 理 的 新 建 连接 请 求 的 数量 。 用 户 每 打开 一 个 网 
页 ,访问 一 个 服务 器 ,在 防火 墙 看 来 是 一 个 甚至 多 个 新 建 连接 。 新 建 连接 速率 高 的 设备 可 
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以 让 更 多 人 同时 上 网 ,提升 用 户 的 网 络 体验 。 

新 建 连接 速率 通常 采用 HTTP 进行 测试 ,测试 结果 以 连接 每 秒 (connections per sec- 
ond) 作 为 单位 。 测 试 仪 通过 持续 地 模拟 大 量 用 户 访问 服务 器 以 测试 防火 墙 的 最 大 新 建 
连接 速率 。 新 建 连接 速率 与 并 发 连接 数 不 同 ,前 者 衡量 设备 的 连接 速率 ,而 后 者 衡量 设备 
的 连接 个 数 。 新 建 连接 速率 测试 会 立刻 拆除 建立 的 连接 ;而 并 发 连接 数 测试 则 不 会 拆除 
连接 ,所 有 已 经 建立 的 连接 会 一 直 保 持 , 直 到 达到 设备 的 极限 。 


4. 应 用 层 性 能 指标 

近 十 年 来 ,传统 的 网 络 层 安全 产品 在 向 应 用 层 安 全 设备 演进 ,例如 传统 防火 墙 由 于 缺 
乏 应 用 识别 与 控制 能 力 ,正在 被 面向 应 用 层 的 下 一 代 防 火 墙 取代 。 但 是 目前 通用 的 性 能 
指标 和 评估 方法 都 是 基于 网 络 层 的 ,不 适合 应 用 层 的 特点 。 由 于 缺乏 相应 标准 ,业内 仍 普 
遍 以 网 络 层 性 能 参数 来 衡量 应 用 层 性 能 ,这 既 不 利于 用 户 选 型 使 用 ,也 不 利于 产品 规划 
发 展 。 

应 用 层 网 络 设备 和 传统 网 络 设 备 相 比 ,几乎 所 有 的 特性 都 聚焦 于 应 用 层 协议 。 其 不 
再 简单 地 关注 数据 报 文 的 转发 ,而 是 关注 和 应 用 协议 相关 的 内 容 , 如 协议 识别 .应 用 特征 
识别 .应 用 威胁 识别 等 ,并 基于 此 开发 功能 特性 。 应 用 层 网 络 设 备 最 基本 的 要 求 就 是 必须 
把 数据 包 解 封 到 第 七 层 , 即 应 用 层 。 而 网 络 层 设备 以 数据 包 转 发 为 主要 目的 ,只 关心 数据 
包 转 发 能 力 , 只 需要 解 封 到 第 三 层 ,找到 对 应 的 IP 地 址 和 端口 信息 即 可 。 

数据 包 封 装 和 解 封 层次 越 多 ,CPU 的 计算 负载 就 越 高 ,这 会 直接 体现 为 性 能 的 衰减 。 
同样 处 理 能 力 的 CPU ,处 理 网 络 层 数据 转发 和 应 用 层 识 别 所 呈现 的 性 能 参数 是 完全 不 同 
的 ,不 能 放 在 一 起 横向 比较 ,不 能 使 用 传统 网 络 层 性 能 指标 来 评价 应 用 层 设 备 的 性 能 。 

NSS Labs 是 全 球 知名 的 独立 安全 研究 和 评测 机 构 ,其 测试 标准 由 于 具有 更 严谨 的 定 
义 而 被 广泛 认可 。 针 对 应 用 层 设 备 ,NSS Labs 提出 了 相应 的 评估 指标 与 测试 方法 ,建议 
采用 4 个 指标 评估 应 用 层 设备 性 能 参数 ,分 别 是 网 络 层 吞吐 量 ( 裸 包 处 理 能 力 ) 、 网 络 层 新 
建 速率 (最 大 TCP 新 建 连接 速率 )、 应 用 层 知 吐 量 (HTTP 性 能 ) 、 应 用 层 新 建 速率 (最 大 
HTTP 新 建 连接 速率 ) 。 

其 中 ,应 用 层 吞 吐 量 是 通过 给 应 用 引擎 施加 最 大 的 压力 来 获得 其 最 大 工作 能 力 。 测 
试 时 需 提供 尽量 接近 真实 世界 的 流量 模型 ,以 保证 测试 的 准确 性 和 可 重复 性 。 对 于 下 一 
代 防 火 墙 来 说 ,IPS 是 标 配 功能 模块 ,在 大 多 数 场景 下 需要 开启 。 由 于 开启 IPS 会 对 整体 
性 能 有 和 较 大 影响 ,因此 有 必要 考察 开启 IPS 功能 后 设备 的 性 能 表现 。 

对 于 应 用 层 设备 ,引入 网 络 层 震 叶 量 和 网 络 层 新 建 速率 主要 是 衡量 基础 的 数据 转发 
能 力 ,以 确保 工作 引擎 在 攻击 流量 下 仍然 有 足够 的 应 用 层 处 理 能 力 ; 引 入 应 用 层 吞 吐 量 和 
应 用 层 新 建 速率 是 为 了 衡量 应 用 引擎 能 力 的 高 低 ,代表 应 用 层 处 理 技 术 的 有 效 性 和 先进 
性 水 平 。 高 应 用 层 性 能 可 以 保障 单位 计算 资源 处 理 更 多 的 应 用 层 数 据 包 , 更 好 地 满足 应 
用 识别 与 控制 需求 。 


1.4.2 ”防火 墙 产 品 标准 演进 历史 


随 着 早期 防火 墙 产 品 的 发 展 ,我 国 制定 了 早期 版 本 的 防火 墙 产 品 安全 技术 要 求 , 主 要 
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由 3 个 标准 组 成 ,分 别 为 : GB/T 17900 一 199%( 网 络 代理 服务 器 的 安全 技术 要 求 》GB/T 
18019 一 1999《 信 息 技 术 包 过 滤 防 火 墙 安全 技术 要 求 )( 已 作废 ) 和 GB/T 18020 一 1999《 信 
息 技术 应 用 级 防火 墙 安 全 技术 要 求 )( 已 作废 )。 

GB/T 18019 一 1999 针对 的 是 包 过 滤 防 火 墙 ,GB/T 18020 一 1999 和 GB/T 17900- 
1999 针对 的 是 应 用 代理 防火 墙 。 例 如 ,在 GB/T 18020 一 1999 的 “4 应 用 级 防火 墙 概 述 ” 
中 规定 :“ 应 用 级 防火 墙 通 常 与 包 过 滤 控 制 配合 使 用 ,以 承担 对 应 用 级 协议 包 的 进一步 控 
制 。 应 用 级 防火 墙 可 以 雇用 代理 服务 器 筛选 数据 包 .”GB/T 18020 一 1999 更 侧重 于 同 包 
过 滤 防 火 墙 功能 的 融合 ,代理 协议 中 的 内 容 可 以 附加 代理 服务 模块 或 者 使 用 代理 服务 器 
来 辅助 。GR/T 17900 一 1999 专注 于 代理 服务 的 内 容 。 

下 面 对 我 国 的 主要 防火 墙 安全 技术 标准 作 简要 介绍 。 


1. GB/T 18019 一 1999 标准 

GB/T 18019 一 1999 规定 了 采用 传输 控制 协议 /网 间 协 议 的 包 过 滤 防 火 墙 产品 或 系 
统 ,是 包 过 滤 防 火 墙 最 低 的 安全 要 求 。 该 标准 定义 的 包 过 滤 防 火 墙根 据 站 点 的 安全 策略 ， 
在 内 部 网 络 和 外 部 网 络 之 间 选 择 性 地 过 滤 包 。 其 过 滤 规 则 主要 根据 五 元 组 ( 源 地 址 、 目 的 
地 址 ,协议 、 源 端口 .目的 端口 ) 以 及 包 到 达 或 发 出 的 接口 而 定 。 该 标准 的 安全 功能 要 求 由 
5 部 分 26 个 组 件 组 成 ,安全 保证 要 求 由 6 部 分 13 个 组 件 组 成 。 


2. GB/T 18020 一 1999 标准 

GB/T 18020 一 1999 定义 的 应 用 级 防火 墙 的 作用 是 : 仲裁 不 同 网 络 上 客户 和 服务 器 
之 间 的 通信 业务 流 。 应 用 级 防火 墙 通常 与 包 过 滤 控 制 配合 使 用 ,以 承担 对 应 用 级 协议 包 
的 进一步 控制 。 应 用 级 防火 墙 可 以 雇用 代理 服务 器 第 选 数据 包 。 

该 标准 的 安全 功能 要 求 和 安全 保证 要 求 的 结构 和 数量 同 GB/T 18020 一 1999 的 包 过 
滤 防 火 墙 一 样 ,由 6 部 分 13 个 组 件 组 成 ,但 与 GB/T 18020 一 1999 的 包 过 滤 防 火 墙 不 同 ， 
应 用 级 防火 墙 提出 了 基于 应 用 的 防火 墙 鉴别 用 户 和 端 到 端的 概念 .并 要 求 能 够 提供 对 应 
用 服务 命令 进行 访问 控制 的 要 求 , 因 此 ,这 两 种 标准 的 内 容 有 明显 区 别 。 


3. GB/T 17900 一 1999 标准 

GB/T 17900 一 1999 定义 的 网 络 代理 服务 器 以 各 种 代理 服务 为 基础 ,通过 它 提 供 集 
中 的 应 用 服务 。 它 可 以 为 不 同 协议 进行 代理 。 为 内 部 .外 部 两 个 网 络 之 间 建 立 安 全 可 靠 
的 应 用 服务 ,网络 代理 服务 器 必须 具备 安全 控制 手段 ,只 有 合法 、 有 效 的 客户 要 求 才 由 代 
理 服务 器 提交 给 真正 的 服务 器 。 该 标准 规定 的 网 络 代理 服务 器 不 局 限于 提供 代理 服务 ， 
它 必须 还 具有 访问 控制 .应 用 层 内 容 过 滤 、 数 据 截 获 处 理 、 安 全 审计 等 功能 ,可 保证 本 地 网 
络 资源 的 安全 和 对 外 部 网 络 访问 的 控制 。 该 标准 在 信息 流 控制 及 相应 的 审计 内 容 方面 提 
出 了 特殊 的 要 求 。 

4. GB/T 20281 一 2006 标准 

GB/T 20281 一 2006 吸收 了 GB/T 17900 一 1999、GB/T 18019 一 1999 和 GB/T 
18020 一 1999 所 有 重要 的 内 容 。 由 于 在 《信息 安全 等 级 保护 管理 办 法 ) 规 定 的 5 级 中 ,三 
级 以 上 为 重要 信息 系统 ,四 、 五 级 信息 系统 的 应 用 环境 非常 特殊 ,考虑 到 三 级 信息 系统 
入 
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以 上 信息 安全 产品 可 以 进行 安全 性 功能 互补 ,GB/T 20281 一 2006 只 分 了 3 个 级 别 , 第 
一 、 二 级 适用 于 《信息 安全 等 级 保护 管理 办 法 ) 中 的 一 、 二 级 信息 系统 ,第 三 级 对 应 ( 信 
息 安 全 等 级 保护 管理 办 法 ) 中 的 三 、 四 、 五 级 信息 系统 的 需求 。 该 标准 在 安全 功能 要 求 
方面 进行 了 细 化 ,为 信息 系统 的 建设 提供 防火 墙 能 够 实现 的 功能 ;安全 保证 要 求 则 为 
信息 系统 等 级 保护 安全 建设 提供 了 明确 的 等 级 对 应 要 求 , 以 保障 防火 墙 开发 .交付 等 
方面 的 安全 。 


5. 现行 有 效 的 防火 墙 标准 

由 于 早期 标准 还 未 引入 等 级 保护 的 要 求 , 没 有 提出 与 我 国信 息 系 统 等 级 保护 安全 建 
设 相 配套 的 概念 。 因 此 ,在 2005、2006 年 ,对 防火 墙 标准 进行 了 重新 编制 ,针对 包 过 滤 和 
应 用 级 防火 墙 技术 (其 中 代理 服务 器 要 求 合并 到 应 用 级 防火 墙 技术 中 进行 描述 ) ,先后 形 
成 了 GB/T 20010 一 2005《 信 息 安 全 技术 包 过 滤 防 火 墙 评估 准则 》 和 GB/T 20281 一 
2006《 信 息 安全 技术 防火 墙 安全 技术 要 求 和 测试 评价 方法 》。2015 年 ,GB/T 20281 一 
2006 被 重新 修订 为 GB/T 20281 一 2015《 信 息 安全 技术 防火 墙 安全 技术 要 求 和 测试 评价 
方法 》, 同 时 GB/T 20281 一 2006 标准 被 废止 。 

GB/T 20010 一 2005 针对 的 是 专门 为 纯 包 过 滤 或 以 包 过 滤 技 术 为 主 的 防火 墙 产 品 。 
而 GB/T 20281 一 2015 针对 的 是 通用 防火 墙 技术 的 防火 墙 产品 ,其 内 容 包 括 包 过 滤 .应 用 
控制 等 。 这 两 个 标准 现在 都 有 效 , 但 是 由 于 GB/T 20281 一 2015 的 内 容 要 求 更 符合 我 国 
防火 墙 的 现状 。 因 此 ,在 实际 中 GB/T 20281 一 2015 的 使 用 频率 较 高 。 

GB/T 20010 一 2005 是 以 GB/T 18019 一 1999 为 基础 ,按照 GB/T 17859 一 1999 的 5 
个 安全 保护 等 级 ,对 采用 传输 控制 协议 /网 间 协 议 的 包 过 滤 防 火 墙 产品 的 安全 保护 等 级 划 
分 所 需 的 评估 内 容 进行 要 求 。 该 标准 按照 信息 系统 等 级 保护 建设 的 要 求 对 包 过 滤 防 火 墙 
标准 内 容 进 行 了 细 化 ,分 为 5 级 , 随 着 安全 保护 等 级 的 增高 ,安全 功能 逐渐 增强 。 

GB/T 20281 一 2015 与 GB/T 20281 一 2006 的 主要 差异 在 于 : GB/T 20281 一 2015 标 
准 修改 了 防火 墙 的 描述 和 防火 墙 的 功能 分 类 ,增加 了 防火 墙 的 高 性 能 要 求 ,加 强 了 防火 墙 
对 应 用 层 控制 能 力 的 要 求 ,增加 了 下 一 代 互 联网 协议 支持 能 力 的 要 求 ,并 将 安全 级 别 统一 
划分 为 基本 级 和 增强 级 。 


1.4.3 GB/T 20281 一 2015 简介 


由 于 GB/T 20281 一 2015 标准 更 符合 等 级 保护 信息 化 建设 现状 , 且 内 容 上 基本 能 够 
覆盖 GB/T 20010 一 2005, 因 此 现在 多 数 厂家 使 用 GB/T 20281 一 2015 标准 进行 产品 
测试 。 

GB/T 20281 一 2015 标准 将 防火 墙 安全 技术 要 求 分 为 安全 功能 、 安 全 保证 、 环 境 适 应 
性 和 性 能 要 求 4 个 大 类 。 安 全 功能 要 求 分 为 基本 级 安全 功能 和 增强 级 安全 功能 ,是 对 防 
火 墙 产 品 应 具备 的 安全 功能 提出 的 具体 要 求 , 包 括 网 络 层 控制 .应 用 层 协 议 控制 和 安全 运 
维 管理 3 个 方面 。 安 全 保证 要 求 是 针对 防火 墙 的 开发 和 文档 的 内 容 提出 的 具体 要 求 , 例 
如 配置 管理 .交付 和 运行 .开发 和 指导 性 文档 等 。 环 境 适应 性 要 求 是 对 防火 墙 的 部 署 模式 
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和 应 用 环境 提出 的 具体 要 求 , 包 括 对 防火 墙 运 行 在 透明 模式 、 路 由 模式 和 下 一 代 互 联网 支 
持 环境 下 提出 的 具体 要 求 。 性 能 要 求 对 防火 墙 产 品 应 达到 的 性 能 指标 做 出 规定 ,包括 知 
吐 量 延迟 ,最 大 并 发 连接 数 和 最 大 连接 速率 等 。 

该 标准 按照 防火 墙 安全 功能 的 强度 划分 安全 功能 要 求 的 等 级 ,安全 等 级 分 为 基本 级 
和 增强 级 。 安 全 功能 强 弱 和 安全 保证 要 求 高 低 是 等 级 划分 的 具体 依据 。 安 全 等 级 突出 安 
全 特性 ,环境 适应 性 要 求 和 性 能 要 求 不 作为 等 级 划分 依据 。 


15 下 一 代 防 火 墙 产品 架构 


与 传统 的 防火 墙 相 比 , 下 一 代 防 火 墙 不 仅 需要 同时 运行 多 种 安全 功能 ,还 要 适用 于 大 
型 企业 环境 ,对 性 能 要 求 极 高 ,因此 下 一 代 防 火 墙 要 具备 一 个 高 性 能 的 处 理 架构 。 

图 1-6 呈现 了 下 一 代 防 火 墙 所 采用 的 单 路 径 解 析 处 理 架 构 和 传统 UTM 所 采用 的 多 
引擎 串 行 处 理 架 构 的 示意 图 。 两 者 的 区 别 显 而 易 见 ,在 单 路 径 解析 处 理 架 构 中 ,数据 包 经 
过 一 次 解码 ,一 次 性 匹配 用 户 ID、 应 用 ID 内容 ID, 最 终 将 匹配 结果 同步 至 安全 策略 引 
擎 ,决定 放行 或 阻 断 ,这 是 深度 集成 各 安全 功能 的 体现 。 而 在 多 引擎 串 行 处 理 架 构 中 ,每 
一 个 功能 是 一 个 独立 的 引擎 ,引擎 之 间 并 没有 协同 的 机 制 , 所 以 多 引擎 串 行 处 理 是 把 数据 
包 串 行 地 通过 各 个 引擎 进行 扫描 ,这 种 检测 效率 极 低 , 这 也 是 UTM 设备 开启 越 多 安全 功 
能 ,性 能 衰减 越 严 重 的 原因 。 


三 ) 六 APP 策 略 | IPS 策 略 | AV 策 略 
0 U 


[oRL 御 哆 [APP 特 征 |] IPs 特 征 AV 特 和 


人 HOVHLhV 


[rr URL 策 略 |URL 策 略 |URL 策 略 |URL 策 略 | 


人 了 TITTITTTTI 


[Rom URL 策 略 |URL 策 略 |URL 策 略 |URL 策 略 | 


HV 人 HV 人 HOLYHOVHOL 


(a) 单 路 径 解 析 处 理 架构 (b) 多 引擎 品行 处 理 架构 
图 1-6 单 路 径 解析 处 理 架构 与 多 引擎 串 行 处 理 架构 
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(1) 简 述 防火 墙 产生 的 原因 。 

(2) 概述 防火 墙 的 定义 。 

(3) 防火 墙 在 网 络 中 两 个 最 基础 的 作用 是 什么 ? 

(4) 在 防火 墙 的 发 展 历史 中 ,可 以 将 防火 墙 分 为 七 代 , 简 述 这 七 代 防 火 墙 指 的 都 是 哪 
些 防 火 墙 。 

(5) 什么 是 安全 域 ? 

(6) 防火 墙 产 品 的 主要 性 能 指标 包含 哪些 ? 

(7) 下 一 代 防 火 墙 产 品 架 构 的 特点 是 什么 ? 


小 
性 


防火 墙 技术 


基于 第 1 章 的 防火 墙 基本 知识 ,本 章 将 详细 介绍 防火 墙 基本 技术 的 原理 和 优 缺 点 , 包 
括 包 过 滤 技 术 、 应 用 代理 技术 ,会 话机 制 与 状态 检测 技术 、 应 用 识别 技术 和 内 容 检查 技术 
等 ,为 后 续 防火 墙 的 实际 应 用 葛 定 理论 基础 。 


加 包 过 滤 技术 


2.1.1 包 过 滤 技术 原理 


包 过 滤 防 火 墙 又 称 网 络 级 防火 墙 , 是 防火 墙 最 基本 的 形式 。 防 火 墙 的 包 过 滤 模块 工 
作 在 网 络 层 , 它 在 链 路 层 向 IP 层 返回 IP 报 文 时 ,在 IP 协议 栈 之 前 截获 IP 包 。 它 通过 检 
查 每 个 报 文 的 源 地 址 \、 目 的 地 址 ,传输 协议 、 端 口号 .ICMP 的 消息 类 型 等 信息 与 预先 配置 
的 安全 策略 (过 滤 逻 辑 规则 ) 的 匹配 情况 来 决定 是 否 允 许 该 报 文 通过 ,还 可 以 根据 TCP 序 
列 号 .TCP 连接 的 握手 序列 (如 SYN、ACK) 的 逻辑 分 析 等 进行 判断 ,可 以 较为 有 效 地 抵 
御 类 似 IP Spoofing、SYN Flood、Source Routing 等 类 型 的 攻击 。 

防火 墙 的 过 滤 人 逻辑 规则 是 由 访问 控制 列表 (ACL) 定 义 的 ,如 表 2-1 所 示 。 包 过 滤 防 
火 墙 检查 每 一 条 规则 ,直至 发 现 包 中 的 信息 与 某 规则 相符 时 才 放 行 ;如 果 规 则 都 不 符合 ， 
则 使 用 默认 规则 ,一 般 情况 下 防火 墙 会 直接 丢弃 该 包 。 包 过 滤 既 可 作用 在 入 方向 也 可 作 
用 在 出 方向 。 


表 2-1 访问 控制 列表 示例 


源 地 址 目的 地 址 传输 协议 | 源 端 口 目的 端口 标志 位 操作 
内 部 网 络 地 址 | 外 部 网 络 地 址 TCP 任意 80 任意 允许 
外 部 网 络 地 址 内 部 网 络 地 址 TCP 80 >1023 ACK 允许 
所 有 所 有 所 有 所 有 所 有 所 有 拒绝 


理论 上 , 包 过 滤 防 火 墙 可 以 被 配置 为 根据 协议 包头 的 任何 数据 域 进行 分 析 过 滤 , 但 多 
数 防火 墙 只 有 针对 性 地 分 析 数 据 包 信 息 头 的 一 部 分 域 。 


2.1.2 包 过 滤 技术 的 优 缺 点 
使 用 包 过 滤 防火 墙 的 优点 如 下 : 
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(1) 包 过 滤 防 火 墙 对 每 个 传人 和 传 出 网 络 的 包 实行 较 低 的 访问 控制 。 

(2) 包 过 滤 防 火 墙 检查 每 个 IP 包 的 字段 ,包括 源 地 址 .目的 地 址 、 传 输 协议 、 端 口号 
等 ,防火 墙 将 基于 这 些 信 息 应 用 过 滤 规则 。 

(3) 包 过 滤 防 火 墙 可 以 识别 和 丢弃 带 欺 骗 性 源 IP 地 址 的 包 。 

(4) 包 过 滤 防 火 墙 对 用 户 和 应 用 透明 ,用 户 无 须 改变 习惯 ,技术 实现 简单 ,运行 速 
度 快 。 

但 包 过 滤 技 术 存 在 的 问题 也 很 多 ,主要 表现 在 以 下 几 方 面 : 

(1) 所 有 可 能 会 用 到 的 端口 都 必须 静态 放 开 。 若 允许 建立 HTTP 连接 ,就 需要 开放 
1024 以 上 所 有 端口 ,这 增加 了 被 攻击 的 可 能 性 。 

(2) 包 过 滤 防 火 墙 不 能 对 数据 传输 状态 进行 判断 。 例 如 接收 到 一 个 ACK 数据 包 , 包 
过 滤 防 火 墙 就 认为 这 是 一 个 已 建立 的 连接 ,这 会 导致 许多 安全 隐患 ,一些 恶 意 扫描 和 拒绝 
服务 攻击 就 是 利用 了 这 个 缺陷 。 

(3) 包 过 滤 防 火 墙 无 法 审核 数据 包 上 层 的 内 容 。 即 使 通过 防火 墙 的 数据 包 有 攻击 性 
或 包含 病毒 代码 ,也 无 法 进行 控制 和 阻 断 。 

造成 这 些 问 题 的 根本 原因 在 于 : 包 过 滤 防 火 墙 只 对 当前 正在 通过 的 单一 数据 包 进行 
检测 ,而 没有 考虑 前 后 数据 包间 的 联系 ;同时 包 过 滤 防 火 墙 只 检查 包头 信息 ,而 没有 深入 
检测 数据 包 的 有 效 载 荷 。 


2 2 应 用 代理 技术 


代理 (proxy) 技 术 与 包 过 滤 技 术 完全 不 同 。 代 理 防 火 墙 通过 代理 技术 参与 到 一 个 
TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ,就 好 像 是 源 于 防火 
墙 的 外 部 网 卡 一 样 , 从 而 可 以 实现 隐藏 内 部 网 络 结构 的 作用 。 

代理 服务 运行 在 防火 墙 主机 上 。 防 火 墙 主机 可 以 是 有 一 个 内 部 网 络 接口 和 一 个 外 部 
网 络 接口 的 双重 宿主 主机 ,也 可 以 是 一 些 可 以 


访问 因特网 并 可 被 内 部 主机 访问 的 堡垒 主机 。 jl 代理 服务 器 
这 些 程序 接受 用 户 对 因特网 服务 的 请 求 (如 有 
FTP 和 Telnet 等 ) ,并 按照 安全 策略 将 它们 转 这 
发 给 实际 的 服务 。 pa i 
虽然 代理 服务 器 工作 在 外 部 网 络 和 内 部 > 感 汪 的 连 搂 \、 
和 oe /一 ---- 一 实际 的 连接 ”AN 
网 络 之 间 , 但 它 努 力 追 求 一 种 可 以 实现 透明 访 了 
问 的 目标 。 代 理 服务 器 与 内 部 网 络 和 外 部 网 人 


络 之 间 的 关系 如 图 2-1 所 示 。 外 部 主机 
无 论 是 传统 的 还 是 现代 的 数据 包 过 滤 设 

备 都 主要 用 于 过 滤 数据 包 ,查看 TCP 和 IP 层 2 

提供 的 信息 。 代 理 防火 墙 不 再 围绕 数据 包 , 而 

注重 于 应 用 级 别 ,分 析 经 过 它们 的 应 用 信息 :决定 是 传送 或 是 丢弃 。 


EGG 防火 墙 技术 及 应 用 


2.2.1 应 用 代理 技术 原理 


应 用 代理 (application proxy) 也 称 为 应 用 网 关 (application gateway) , 指 在 Web 服务 
器 上 或 某 一 台 单 独 主 机 上 运行 的 代理 服务 器 软件 ,对 网 络 上 的 信息 进行 监听 和 检测 ,并 对 
访问 内 网 的 数据 进行 过 滤 , 从 而 起 到 隔断 内 网 与 外 网 的 直接 通信 的 作用 ,保护 内 网 不 受 破 
坏 。 它 工作 在 网 络 体系 结构 的 最 高 层 一 一 应 用 层 , 其 技术 原理 如 图 2-2 所 示 。 


IP 头 | TCP 头 | 数据 
过 滤 判 断 
应 用 代理 判断 


应 用 代理 


实际 的 连接 
一 一 -一 感觉 的 连接 


服务 器 服务 器 


2-2 应 用 代理 技术 原理 


应 用 代理 使 网 络 管理 员 能 够 实现 比 包 过 滤 更 加 严格 的 安全 策略 。 应 用 代理 不 依靠 包 
过 滤 工 具 来 管理 进出 防火 墙 的 数据 流 ,而 是 通过 对 每 一 种 应 用 服务 编制 专门 的 代理 程序 ， 
实现 监视 和 控制 应 用 层 信息 流 的 作用 。 在 代理 方式 下 ,内 部 网 络 的 数据 包 不 能 直接 进入 
外 部 网 络 , 内 网 用 户 对 外 网 的 访问 变 成 代理 对 外 网 的 访问 。 同 样 ,外 部 网 络 的 数据 也 不 能 
直接 进入 内 网 ,而 是 要 经 过 代理 的 处 理 之 后 才能 到 达 内 部 网 络 。 所 有 通信 都 必须 经 应 用 
层 代 理 软件 转发 ,应 用 层 的 协议 会 话 过 程 必须 符合 代理 的 安全 策略 要 求 , 因 此 在 代理 上 就 
可 以 实现 访问 控制 .网 络 地 址 转换 等 功能 。 

基于 代理 的 防火 墙 不 会 遇 到 传统 数据 包 过 滤 防 火 墙 ACK 攻击 扫描 问题 ,因为 ACK 
是 有 意义 的 应 用 请 求 的 一 部 分 , 它 将 会 被 代理 丢弃 。 并 且 由 于 其 主要 针对 应 用 级 ,基于 代 
理 的 防火 墙 可 以 梳理 应 用 级 协议 ,以 确保 所 有 的 数据 交换 都 严格 遵守 协议 消息 级 。 例 如 ， 
一 个 Web 代理 可 以 确保 所 有 消息 都 是 正确 格式 的 HTTP, 而 不 是 仅仅 确保 它们 是 前 往 目 
标 TCP 的 80 端口 。 而 且 , 代 理 可 以 允许 或 拒绝 应 用 级 功能 。 因 此 ,对 于 FTP, 代 理 可 以 
允许 FTP GET, 从 而 使 用 户 可 以 将 文件 带 入 网 络 ;同时 拒绝 FTP PUT, 禁 止 用户 使 用 
FTP 发 送 文件 。 

此 外 ,利用 代理 可 以 优化 性 能 。 代 理 可 以 对 经 常 访问 的 信息 进行 缓存 ,从 而 对 于 同一 
数据 ,无 须 向 服务 器 发 出 新 的 请 求 。 
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2.2.2 ”应 用 代理 技术 的 优 缺 点 


采用 应 用 代理 技术 的 防火 墙 有 以 下 优点 : 

(1) 应 用 层 网 关 有 能 力 支 持 可 靠 的 用 户 认 证 并 提供 详细 的 注册 信息 。 因 为 它 在 应 用 
级 操作 ,并 可 以 显示 用 户 ID 和 口令 提示 或 其 他 验证 请 求 。 

(2) 用 于 应 用 层 的 过 滤 规 则 相对 于 包 过 滤 防 火 墙 来 说 更 容易 配置 和 测试 。 

(3) 代理 工作 在 客户 机 和 真实 服务 器 之 间 ,完全 控制 会 话 , 所 以 可 以 提供 很 详细 的 日 
志和 安全 审计 功能 。 

(4) 提供 代理 服务 的 防火 墙 可 以 被 配置 成 唯一 可 被 外 部 看 见 的 主机 ,这 样 可 以 隐藏 
内 部 网 的 IP 地 址 ,保护 内 部 主机 免 受 外 部 主机 的 进攻 。 

(5) 通过 代理 访问 因特网 可 以 解决 合法 IP 地 址 不 够 用 的 问题 ,因为 因特网 所 见 只 是 
代理 服务 器 的 地 址 ,内 部 的 IP 则 通过 代理 可 以 访问 因特网 。 

但 是 ,应 用 代理 也 有 明显 的 缺点 : 

(1) 当 用 户 对 内 部 网 络 网 关 的 吞吐 量 要 求 比 较 高 时 ,代理 防火 墙 就 会 成 为 内 外 网 络 
之 间 的 瓶颈 。 

(2) 应 用 代理 服务 器 的 兼容 性 往往 有 问题 。 代 理 服务 器 一 般 具 有 解释 应 用 层 命令 的 
功能 ,因此 ,可 能 需要 提供 很 多 不 同 的 代理 服务 器 ,而 且 每 一 种 应 用 升级 时 ,一 般 代理 服务 
程序 也 要 升级 ,所 以 能 提供 的 服务 和 可 伸缩 性 是 有 限 的 。 但 如 果 没 有 明确 提供 应 用 层 代 
理 服 务 , 就 不 能 通过 防火 墙 ,这 从 安全 角度 看 也 是 一 种 优点 ,并 且 也 符合 “未 被 明确 允许 的 
就 将 被 禁止 "的 原则 。 


2.3 会话 机制 和 状态 检测 


2.3.1 防火 墙 会 话机 制 


会 话 (session) 是 通信 双方 的 连接 在 防火 墙 上 的 具体 体现 ,代表 两 者 的 连接 状态 ,一 个 
会 话 就 表示 通信 双方 的 一 个 连接 。 防 火 墙 上 多 个 会 话 的 集合 称 为 会 话 表 (session table) 
或 动态 连接 状态 表 。 会 话 表 中 的 记录 可 以 是 以 前 的 通信 信息 ,也 可 以 是 相关 应 用 程序 的 
信息 ,因此 ,与 传统 包 过 滤 防 火 墙 的 静态 访问 控制 列表 相 比 , 它 具 有 更 好 的 灵活 性 和 安全 
性 。 当 新 的 连接 通过 验证 时 , 则 在 状态 表 中 添加 该 连接 条 目 ; 而 当 一 条 连接 完成 它 的 通信 
任务 后 ,状态 表 中 的 该 条 目 将 自动 删除 。 


2.3.2 ”状态 检测 技术 原理 


传统 的 包 过 滤 防 火 墙 只 是 通过 检测 IP 包头 的 相关 信息 来 决定 是 否 转发 数据 包 , 而 状 

态 检 测 技 术 采 用 的 是 一 种 基于 连接 的 状态 检测 机 制 ,将 属于 同一 连接 的 所 有 包 作 为 一 个 

整体 的 数据 流 看 待 ,构成 连接 状态 表 . 通 过 访问 控制 列表 与 连接 状态 表 的 共同 配合 ,对 表 

中 的 各 个 连接 状态 因素 加 以 识别 。 访 问 控制 列表 为 静态 的 ;而 连接 状态 表 中 保留 着 当前 
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活动 的 合法 连接 ,其 内 容 是 动态 变化 的 , 随 着 数据 包 来 回 经 过 设备 而 实时 更 新 。 
数据 包 通 过 状态 检测 防火 墙 的 过 程 如 图 2-3 所 示 。 
客户 端 防火 墙 服务 器 
中 畏 鲁 


@ 客户 端 访问 服务 器 ”| 
el 


@@ 服务 器 回应 客户 端 


了 | 匹配 会 话 ， 

二 | 允许 通过 
| 

1 


1 
1 1 
2-3 数据 包 通 过 状态 检测 防火 墙 的 过 程 


在 防火 墙 的 访问 控制 列表 中 ,允许 访问 的 数据 包 通 过 。 当 报 文 到 达 防 火 墙 后 ,防火 墙 
允许 报 文通 过 ,同时 还 会 针对 这 个 访问 行为 建立 会 话 ,会 话 中 包含 报 文 信息 ,如 地 址 和 端 
口号 等 。 内 网 回应 的 报 文 到 达 防 火 墙 后 ,防火 墙 会 把 报 文中 的 信息 与 会 话 中 的 信息 进行 
比 对 ,发现 报 文 中 的 信息 与 会 话 中 的 信息 相 匹配 ,并且 符 合 协议 规范 对 后 续 包 的 定义 , 则 
认为 这 个 报 文 属于 外 网 访问 内 网 行为 的 后 续 回 应 报 文 ,直接 允许 这 个 报 文通 过 。 

状态 检测 防火 墙 使 用 基于 连接 状态 的 检测 机 制 ,将 通信 双方 之 间 交 互 的 属于 同一 连 
接 的 所 有 报 文 都 作为 整体 的 数据 流 来 对 待 。 在 状态 检测 防火 墙 看 来 ,同一 个 数据 流 内 的 
报 文 不 再 是 孤立 的 个 体 ,而 是 存在 联系 的 。 为 数据 流 的 第 一 个 报 文 建立 会 话 , 数 据 流 内 的 
后 续 报 文 直接 根据 会 话 进行 转发 ,提高 了 转发 效率 。 状 态 检 测 包 过 滤 和 应 用 代理 这 两 种 
技术 目前 仍然 是 防火 墙 市 场 中 普遍 采用 的 主流 技术 ,但 两 种 技术 正在 形成 一 种 融合 的 趋 
势 ,演变 的 结果 也 许 会 导致 一 种 新 的 结构 名 称 的 出 现 。 


2.3.3 ”状态 检测 技术 的 优 缺 点 


状态 检测 防火 墙 工作 在 数据 链 路 层 和 网 络 层 之 间 ,截取 并 处 理 分 析 数 据 包 ,进行 相应 
的 操作 ,如 允许 数据 包 通过 ,拒绝 数据 包 、 认 证 连接 ,加密 数据 等 。 状 态 检测 防火 墙 检测 应 
用 层 的 所 有 数据 包 ,安全 性 得 到 很 大 提高 。 并 且 其 工作 在 协议 栈 的 较 低层 ,通过 防火 墙 的 
所 有 的 数据 包 都 在 低层 处 理 ,而 不 需要 协议 栈 的 高 层 处 理 任何 数据 包 , 这 样 减少 了 高 层 协 
议 头 的 开销 ,执行 效率 提高 很 多 。 另 外 ,在 这 种 防火 墙 中 一 旦 一 个 连接 建立 起 来 ,就 不 用 
再 对 这 个 连接 做 更 多 工作 ,系统 可 以 处 理 别 的 连接 ,执行 效率 明显 提高 。 

状态 检测 防火 墙 不 区 分 每 个 具体 的 应 用 ,动态 产生 新 的 应 用 的 新 的 规则 ,不 用 另外 写 
代码 ,所 以 具有 很 好 的 伸缩 性 和 扩展 性 。 
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状态 检测 防火 墙 实现 了 基于 UDP 应 用 的 安全 。 防 火 墙 保存 通过 网 关 的 每 一 个 连接 
的 状态 信息 ,允许 穿 过 防火 墙 的 UDP 请 求 包 被 记录 。 如 果 在 指定 的 一 段 时 间 内 响应 数 
据 包 没有 到 达 , 连 接 超时 , 则 该 连接 被 阻塞 ,这 样 所 有 的 攻击 都 被 阻塞 ,避免 大 量 的 无 效 连 
接 占用 过 多 的 网 络 资源 ,可 以 很 好 地 降低 DoS 和 DDoS 攻击 的 风险 。 

但 是 ,状态 检测 防火 墙 在 应 用 中 依然 存在 着 以 下 问题 : 

(1) 状态 检测 防火 墙 无 法 识别 数据 包 中 的 垃圾 邮件 、 恶 意 代码 等 。 对 于 包 过 滤 防 火 
墙 而 言 ,数据 包 来 自 远 端 主机 。 由 于 防火 墙 不 是 数据 包 的 最 终 接 收 者 ,不 能 对 数据 包 网 络 
层 和 传输 层 信息 头等 控制 信息 进行 分 析 , 所 以 难以 了 解数 据 包 是 由 哪个 应 用 程序 发 起 的 。 
状态 检测 防火 墙 虽然 继承 了 包 过 滤 防 火 墙 和 应 用 网 关 防 火 墙 的 优点 ,克服 了 它们 的 缺点 ， 
但 它 仍 只 检测 数据 包 的 第 三 层 信息 ,无 法 彻底 识别 数据 包 中 大 量 的 垃圾 邮件 ,广告 以 及 木 
马 程序 等 。 

(2) 状态 检测 防火 墙 难以 详细 了 解 主机 间 的 会 话 关 系 。 状 态 检测 防火 墙 处 于 网 络 边 
界 并 对 流 经 防火 墙 的 数据 包 进 行 网 络 会 话 分析 , 生 成 会 话 连接 状态 表 。 由 于 状态 检测 防 
火 墙 并 非 会 话 连接 的 发 起 者 ,所 以 对 网 络 会 话 连接 的 上 下 文 关系 难以 详细 了 解 ,容易 受到 
欺骗 。 


2.4 ”应 用 识别 技术 


传统 防火 墙 的 访问 控制 或 者 流量 管理 粒度 较 粗 ,只 能 基于 IP/ 端 口号 对 数据 流量 进 
行 全 面 的 禁止 或 允许 。 下 一 代 防 火 墙 可 以 对 数据 流量 和 访问 来 源 进行 精细 化 的 识别 和 分 
类 ,使 得 用 户 可 以 很 容易 地 从 同一 个 端口 协议 的 数据 流量 中 辨识 出 所 有 应 用 ,或 者 从 无 序 
的 IP 地 址 中 辨识 出 有 意义 的 用 户 身 份 信息 ,从 而 对 识别 出 的 应 用 和 用 户 施加 细 粒 度 、 有 
区 别 的 访问 控制 策略 流量 管理 策略 和 安全 扫描 策略 ,保障 了 用 户 最 直接 、 准 确 、 精 细 的 管 
理 和 控制 需求 。 例 如 ,允许 HTTP 网 页 访问 顺利 进行 ,并 且 保 证 高 访问 带宽 ,但 是 不 允许 
同样 基于 HTTP 的 视频 流量 通过 ;允许 邮件 传输 ,但 需要 进行 防 病毒 检测 ,如果 发 现 有 病 
毒 人 侵 或 泄密 事件 则 马上 阻 断 ;允许 通过 网 盘 下 载 文本 文件 ,但 是 不 允许 通过 网 盘 下 载 视 
频 文件 并 且 需 要 进行 防 病毒 检测 ;等 等 。 应 用 识别 技术 如 图 2-4 所 示 。 

下 一 代 防 火 墙 要 具备 极 强 的 应 用 识别 能 力 及 用 户 身 份 鉴 别 能 力 , 以 及 将 应 用 识别 及 
身份 鉴别 与 安全 策略 整合 的 能 力 ,对 应 用 进行 更 细 粒 度 的 访问 控制 。 应 用 识别 带 来 的 额 
外 好 处 是 可 以 合理 优化 带宽 的 使 用 情况 ,保证 关键 业务 的 畅通 。 

下 一 代 防 火 墙 技 术 对 网 络 应 用 的 识别 和 控制 的 主要 特点 如 下 : 

(1) 以 网 络 应 用 识别 作为 基础 ,对 所 有 层 的 网 络 数据 进行 监控 。 所 有 经 过 下 一 代 防 
火 墙 的 网 络 数据 包 都 要 经 过 检查 ,下 一 代 防 火 墙 可 以 识别 所 有 已 知 的 网 络 应 用 ,对 每 个 网 
络 应 用 进行 监控 。 

(2) 网 络 应 用 识别 是 第 一 任务 。 在 下 一 代 防 火 墙 中 ,系统 默认 禁止 所 有 不 能 识别 的 
网 络 数据 包 通 过 。 网 络 管理 员 需 要 对 下 一 代 防 火 墙 进行 配置 ,允许 识别 的 网 络 应 用 数据 
包 通 过 防火 墙 ,从 而 可 以 保证 内 部 网 络 的 安全 可 靠 。 因 此 ,在 下 一 代 防 火 墙 中 ,网 络 应 用 
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aa 控制 策略 
迅雷 禁止 上 QQ 
非法 应 用 > 禁止 使 用 迅雷 下 载 
优酷 禁止 看 优酷 视频 
Qa 斗 地 主 禁止 玩 QQ 斗 地 主 等 游戏 
应 应 应 
网 银 用 用 用 A 
CR ,允许 使 用 网 银 ， 需 要 进行 IPs 扫 描 : 
百度 网 盘 访 宽 全 | 
| | 可 疑 应 用 问 管 扫 oy 允许 访问 百度 网 盘 ， 需 要 进行 防 病毒 扫描 ， 
SSH 控 理 描 人 允许 SsH 协 议 访问 ， 需 要 进行 Ps 扫 描 | 
远程 桌面 型 允许 远程 泉 面 访问 ， 需 要 进行 IPS 扫 描 
略 


允许 HTTP 网 页 访问 ， 需 要 保证 上 网 带宽 
| 允许 Foxmail 收 发 邮件 

> 允许 访问 Git 服 务 器 ， 限 制 使 用 带宽 
,允许 使 用 Office365 


Office365 


2-4 应 用 识别 技术 


识别 是 第 一 任务 ,首先 需要 准确 识别 应 用 ,才能 保证 配置 规则 的 正确 执行 ,实现 网 络 应 
控制 的 目的 。 

(3) 下 一 代 防 火 墙 可 以 识别 所 有 端口 。 在 下 一 代 防 火 墙 中 ,网 络 应 用 识别 可 以 监控 
所 有 的 网 络 端口 ,但 网 络 应 用 识别 不 依赖 于 特定 的 端口 。 网 络 应 用 使 用 任意 端口 作为 通 
信 的 通道 ,下 一 代 防 火 墙 都 能 准确 识别 这 个 网 络 应 用 ,网 络 应 用 无 法 通过 端口 跳 变 技术 逃 
过 防火 墙 的 识别 。 

(4) 下 一 代 防 火 墙 能 够 识别 不 同 操作 系统 下 的 所 有 网 络 应 用 版 本 。 下 一 代 防 火 墙根 
据 网 络 应 用 协议 的 特征 进行 识别 ,无 论 用 户 使 用 任何 操作 系统 ,只 要 应 用 的 协议 不 发 生变 
化 ,下 一 代 防 火 墙 都 能 够 准确 识别 出 来 ,网 络 应 用 协议 的 特征 就 是 它 的 指纹 信息 ,在 任何 
操作 系统 下 都 是 一 样 的 。 

下 一 代 防 火 墙 的 核心 就 是 对 网 络 应 用 进行 精确 识别 ,从 而 达到 对 网 络 应 用 控制 的 
目的 。 

任何 一 个 网 络 应 用 都 可 以 通过 分 析 网 络 数据 包 从 网 络 流量 中 识别 出 来 ,这 是 实现 网 
络 应 用 识别 控制 系统 的 基础 ,网 络 应 用 识别 技术 也 是 下 一 代 防 火 墙 的 基础 。 当 前 阶段 比 
较 有 效 的 网 络 应 用 识别 技术 主要 有 以 下 几 类 : 基于 端口 的 识别 技术 .DPI 技术 .DFI 技术 
和 机 器 学 习 技 术 等 。 

在 网 络 应 用 识别 系统 刚 被 提出 的 时 候 , 绝 大 部 分 的 应 用 识别 是 按照 应 We 
的 。 后 来 ,网 络 应 用 越 来 越 多 ,协议 越 来 越 丰 富 ,功能 越 来 越 复杂 , 越 来 越 多 的 网 络 应 
2 


me 第 2 章 防火 墙 技术 mm 


再 使 用 固定 的 端口 号 ,利用 网 络 应 用 使 用 的 固定 端口 号 对 网 络 应 用 进行 识别 越 来 越 困 难 ， 
基于 端口 号 的 识别 技术 对 有 些 网 络 应 用 已 经 不 再 适用 。 因 此 ,在 下 一 代 防 火 墙 中 ,应 用 识 
别 主要 使 用 DPI 技术 和 DFI 技术 。 


2.4.1 DPI 技术 


深度 包 检 测 技 术 (Deep Packet Inspection ,DPI) 是 一 种 简单 ,高 效 的 应 用 识别 检测 技 
术 , 它 是 一 种 基于 网 络 应 用 特征 对 网 络 应 用 进行 识别 的 技术 ,是 目前 比较 重要 的 网 络 应 用 
识别 技术 。 不 同 的 网 络 应 用 通常 采用 不 同 的 网 络 通信 协议 ,不同 的 网 络 通信 协议 都 有 其 
各 自 的 通信 特征 ,这 些 特征 可 能 是 采用 特定 的 通信 端口 ,传输 的 内 容 包 含 特定 的 字符 等 。 

DPI 提供 业务 层 的 报 文 深入 分 析 , 是 业务 层 安 全 和 控制 的 重要 手段 。DPI 以 业务 流 
的 连接 为 对 象 , 深 入 分 析 业 务 的 高 层 协议 内 容 ,结合 数据 包 的 深度 特征 值 检测 和 协议 行为 
的 分 析 , 以 达到 应 用 层 网 络 协议 识别 为 目的 。 

所 谓 “ 深 度 ” 是 和 普通 的 报 文 分 析 层 次 相 比 较 而 言 的 。 普 通报 文 检测 仅 分 析 IP 包 
1 一 4 层 的 内 容 , 包 括 源 地 址 .目的 地 址 、 源 端口 .目的 端口 以 及 协议 类 型 ;而 深度 包 检测 除 
了 对 前 面 的 层次 分 析 外 ,还 增加 了 应 用 层 分 析 ,强化 了 传统 的 数据 包 检测 技术 SPI 的 深度 
和 精确 度 ,能 够 识别 各 种 应 用 及 其 内 容 , 是 对 传统 数据 包 检 测 技术 的 延伸 和 加 强 , 如 图 2-5 
所 示 。 


包头 IP 载 荷 
协议 | 源 地 址 | 目的 地 址 | 源 端 口 目的 端口 数据 /语音 /视频 /病毒 /攻击 
L_ 1-4 层 分 析 _| | 应 用 层 分 析 


2-5 ”普通 报 文 检测 和 DPI 的 对 比 


DPI 技术 主要 对 网 络 数据 包 的 特征 进行 检测 ,根据 每 个 包 的 特征 确定 网 络 数据 包 属 
于 哪个 网 络 应 用 ,如 果 这 个 网 络 数 据 包 符合 一 定 的 数据 包 格 式 或 者 其 特征 届 于 特定 的 网 
络 应 用 ,这 种 检测 技术 可 以 很 方便 地 实现 对 新 协议 的 检测 识别 。DPI 技术 不 仅 能 检测 数 
据 包 的 协议 、 源 IP 地 址 、 目 的 IP 地 址 \ 源 端口 号 和 目的 端口 号 信息 ,还 能 够 对 数据 包 内 部 
进行 深入 的 分 析 , 判 断 其 是 否 携 带 特定 的 数据 内 容 。 

DPI 识别 技术 可 划分 为 以 下 3 类 : 

第 一 类 是 特征 字 的 识别 技术 。 不 同 的 应 用 通常 会 采用 不 同 的 协议 ,而 各 种 协议 都 有 
其 特殊 的 指纹 ,这 些 指纹 可 能 是 特定 的 端口 .特定 的 字符 串 或 者 特定 的 比特 序列 。 基 于 特 
征 字 的 识别 技术 正 是 通过 识别 数据 报 文中 的 指纹 信息 来 确定 业务 所 承载 的 应 用 。 通 过 对 
指纹 信息 的 升级 ,基于 特征 字 的 识别 技术 可 以 方便 地 扩展 到 对 新 协议 的 检测 ,如 图 2-6 
所 示 。 

第 二 类 是 应 用 层 网 关 识别 技术 。 在 业务 中 ,有 一 类 的 控制 流 和 业务 流 是 分 离 的 ,其 业 
务 流 没有 任何 特征 ,应 用 层 网 关 识 别 技术 针对 的 对 象 就 是 此 类 业务 ,首先 由 应 用 层 网 关 识 
别 出 控 制 流 , 并 根据 控制 流 协议 选择 特定 的 应 用 层 网 关 对 业务 流 进行 解析 ,从 而 识别 出 相 
应 的 业务 流 , 如 图 2-7 所 示 ,对 于 每 一 个 协议 ,需要 不 同 的 应 用 层 网 关 对 其 进行 分 析 。 
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按照 特征 字符 识别 DA 
TCP PORT | DOTBITTORRENTOUKNOW 
2-4 层 第 7 层 
2-6 ”基于 特征 字 的 识别 技术 示意 图 
网 关 2 
网 关 3 
业务 流 业务 流 a 
解析 


2-7 应 用 层 网 关 识 别 技术 示意 图 


第 三 类 是 行为 模式 识别 技术 。 在 实施 行为 模式 识别 技术 之 前 ,运营 商 首 先 必须 对 终 
端的 各 种 行为 进行 研究 ,并 在 此 基础 上 建立 行为 识别 模型 ,基于 行为 识别 模型 ,行为 模式 
识别 技术 即 可 根据 客户 已 经 实施 的 行为 ,判断 客户 正在 进行 的 动作 或 者 即将 实施 的 动作 。 
行为 模式 识别 技术 比 前 两 种 技术 更 复杂 ,针对 不 同 的 应 用 ,可 利用 的 行为 特征 也 不 尽 相 
同 。 要 准确 地 识别 一 个 应 用 ,必须 抓 取 海 量 的 流量 样本 ,分 析 、 提 取出 独特 的 行为 特征 ,这 
才 是 行为 模式 识别 最 困难 的 地 方 。 通 常 ,上 下 行 流量 比例 、 报 文 发 送 频率 、 报 文 长 度 变化 
规律 等 都 是 可 利用 的 行为 特征 指标 。 行 为 模式 识别 技术 通过 综合 考察 和 选择 多 种 行为 特 
征 指标 来 实现 精准 的 应 用 识别 。 

DPI 技术 不 仅 对 数据 包 的 IP 层 进行 检查 ,还 能 对 数据 包 内 容 进行 检查 ,每 个 应 用 协 
议 都 有 自己 的 数据 特征 ,充分 理解 各 种 应 用 协议 的 变化 规律 和 流程 ,可 以 准确 ,快速 地 识 
别 应 用 协议 ,从 而 达到 对 应 用 的 精确 识别 和 控制 。 


2.4.2 DFI 技术 


深度 数据 流 检测 技术 (Deep Flow Inspection,DFI) 通 过 分 析 网 络 数据 流量 行为 特征 
来 识别 网 络 应 用 ,因为 不 同 的 应 用 类 型 在 数据 流 上 各 有 差异 。DFI 分 析 某 种 应 用 数据 流 
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的 行为 特征 并 创建 特征 模型 ,对 经 过 的 数据 流 和 特征 模型 进行 比较 ,因此 检测 的 准确 性 取 
决 于 特征 模型 的 准确 性 。 要 使 用 DFI 技术 ,首先 要 获得 已 经 训练 好 的 应 用 特征 库 , 在 这 
个 特征 库 中 可 以 按照 协议 的 特点 进行 分 类 , 当 新 进入 的 数据 包 经 过 这 个 特征 库 的 时 候 , 特 
征 库 可 以 识别 出 该 网 络 数据 包 属 于 哪个 网 络 应 用 类 型 ,不 同 的 网 络 应 用 都 会 在 特征 库 中 
有 一 个 对 应 的 类 别 。 如 果 特 征 库 足 够 强大 ,可 以 实现 对 每 种 协议 的 区 分 , 则 基于 DFI 技 
术 的 网 络 应 用 识别 技术 可 以 识别 所 有 的 网 络 应 用 。 

对 于 数据 流 特征 不 明显 .应 用 协议 多 变 的 应 用 ,很 难 通过 DFI 技术 进行 识别 ,所 以 需 
要 其 他 技术 手段 对 于 数据 加 密 传输 、 协 议 变 化 较 大 的 网 络 应 用 进行 识别 。 

DFI 与 DPI 这 两 种 技术 的 设计 基本 目标 都 是 为 了 实现 业务 识别 ,但 是 两 者 在 实现 和 
技术 细节 方面 还 是 存在 较 大 区 别 。 从 两 种 技术 的 对 比 情况 看 ,两 者 各 有 优 劣 : 
DPI 技术 适用 于 需要 精细 准确 识别 .精细 管理 的 环境 ,而 DFI 技术 适用 于 需要 高 
效 识 别 . 粗 放 管 理 的 环境 。 
DFI 技术 处 理 速度 较 快 ;而 采用 DPI 技术 ,由 于 要 逐 包 进 行 拆 包 操作 ,并 与 后 台 
据 库 进行 匹配 对 比 ,处 理 速度 会 慢 一 些 。 
基于 DPI 技术 的 带宽 管理 系统 总 是 滞后 于 新 应 用 ,需要 紧 跟 新 协议 和 新 应 用 的 产 
生 而 不 断 升 级 后 台 应 用 数据 库 ,否则 就 不 能 有 效 识 别 、 管 理 新 技术 下 的 带宽 ,影响 
模式 匹配 效率 ,因此 维护 成 本 较 高 ;而 基于 DFI 技术 的 系统 在 管理 维护 上 的 工作 
量 要 少 于 DPI 系统 ,因为 同一 类 型 的 新 应 用 与 旧 应 用 的 流量 特征 不 会 出 现 大 的 变 
化 ,所 以 不 需要 频繁 升级 流量 行为 模型 ,维护 成 本 也 较 低 。 
在 识别 准确 率 方面 ,两 种 技术 各 有 所 长 。 由 于 DPI 采用 逐 包 分 析 、 模 式 匹 配 技术 ， 
因此 可 以 对 流量 中 的 具体 应 用 类 型 和 协议 做 到 比较 准确 的 识别 ;而 DFI 仅 对 流量 
行为 进行 分 析 , 因 此 只 能 对 应 用 类 型 进行 笼统 分 类 。 如 果 数 据 包 是 经 过 加 密 传 输 
的 , 则 采用 DPI 方式 的 流 控 技 术 则 不 能 识别 其 具体 应 用 ,而 采用 DFI 方式 的 流 控 
技术 不 受 影响 ,因为 应 用 流 的 状态 行为 特征 不 会 因 加 密 而 发 生根 本 改变 。 


2.5 内容 检 查 技 术 


2.5.1 内 容 检 查 技 术 原 理 


内 容 检查 是 对 进出 防火 墙 的 数据 进行 检查 ,在 应 用 层 判 断 从 内 部 网 络 流向 外 部 网 络 
的 数据 中 是 否 包 含 涉 密 信息 。 防 火 墙 在 网 络 边 界 实施 应 用 层 的 内 容 扫描 ,实现 了 实时 内 
容 过 滤 。 
内 容 过 滤 技 术 是 指 采取 适当 的 技术 措施 ,对 不 良 的 信息 和 不 安全 的 内 容 进 行 过 滤 。 
内 容 过 滤 处 理 是 一 个 复杂 而 又 快捷 的 过 程 。 内 容 过 滤 的 原理 如 图 2-8 所 示 。 
(1) 当 内 容 流 进 入 防火 墙 时 ,凡是 与 预先 定义 的 内 容 协议 组 (例如 HTTP、SNMP、 
POP3 和 IMAP 等 协议 ) 相 匹配 的 所 有 内 容 流 ,将 被 引导 到 TCP/IP 协议 栈 。 
(2) 当 接 收 到 内 容 流 时 开始 进行 内 容 扫 描 。 内 容 流 一 开始 被 接收 时 ,TCP/IP 协议 栈 
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图 2-8 内 容 过 滤 的 原理 


先 建立 到 客户 端 和 服务 器 端的 连接 ,然后 接收 数据 包 , 把 IP 包 转 换 为 基于 会 话 的 内 容 流 ， 
TCP/IP 协议 栈 将 产生 的 内 容 流 送 到 业务 类 型 区 分 器 。 
(3) 业务 类 型 区 分 器 的 作用 是 将 内 容 流 按照 它们 的 业务 类 型 分 开 。Web 流 (HT- 
TP)、 邮 件 流 (SMTP、POP3、IMAP) 和 其 他 类 型 的 内 容 流 将 被 分 开 。 
(4) 经 过 分 类 的 内 容 流 被 输送 到 相关 的 解析 器 。 它 们 能 解析 和 理解 高 层 协议 。 例 如 
与 POP3 和 HTTP 相 匹 配 的 内 容 流 分 别 进 入 POP3 解析 器 和 HTTP 解析 器 。 解 析 器 分 
析 内 容 流 的 内 容 , 其 中 有 可 能 包含 了 病毒 .蠕虫 .被 禁止 的 内 容 或 其 他 攻击 性 的 内 容 等 。 
(5) 数据 从 解析 器 输出 ,分 别 发 送 到 病毒 扫描 模块 和 内 容 过 滤 模 块 进行 处 理 。 如 果 
数据 流 包 含 上 传 /下 载 的 文件 或 邮件 附件 ,就 被 送 入 病毒 扫描 模块 ;所 有 其 他 内 容 则 被 路 
由 到 内 容 过 滤 模 块 。 若 文件 或 附件 经 检测 不 存在 病毒 , 则 被 送 至 内 容 过 滤 模 块 再 次 检查 。 
(6) 经 过 检查 不 存在 问题 的 内 容 流 将 被 引导 回 TCP/IP 协议 栈 , 并 将 内 容 流 进行 拼 
接 ,重组 为 IP 数据 包 , 最 后 发 送 到 目的 地 。 
当 病 毒 扫描 模块 接收 到 一 个 新 的 内 容 流 时 , 它 对 可 能 含有 病毒 和 蠕虫 的 目标 文件 的 
内 容 流 进行 扫描 。 病 毒 扫描 模块 对 所 有 使 用 HTTP 上 传 /下 载 的 文件 或 邮件 的 附件 进行 
扫描 。 病 毒 扫描 模块 扫描 的 目标 文件 可 能 是 可 执行 文件 (ext、bat、com) 、 丢 本 文件 (vbs)、 
压缩 的 文件 (zip、gzip、tar、hta、rar)、 屏 幕 保 护 文件 (scr) 动态 链接 库 文件 (dll) 或 带 宏 的 
Office 文件 等 。 
内 容 过 滤 模 块 通过 识别 文件 的 类 型 和 内 容 , 对 上 传 和 下 载 的 文件 以 及 传输 的 内 容 进 
行 过 滤 , 防 止 内 部 重要 敏感 文件 向 外 泄露 ,也 防止 网 络 中 的 不 良 文件 传人 内 网 。 此 模块 对 
文件 类 型 的 识别 不 依赖 于 后 级 名 ,即使 后 级 名 被 修改 ,也 不 会 改变 文件 类 型 。 
经 过 内 容 过 滤 后 ,所 有 被 检测 出 存在 问题 的 文件 都 会 被 阻挡 ,然后 根据 防火 墙 的 保护 
设置 来 进一步 处 理 。 
内 容 过 滤 对 Web 报 文 及 其 他 网 络 协议 (如 FTP、SMTP、POP3 等 ) 内 容 流 进行 深度 
解析 ,实时 分 析 用 户 的 行为 以 及 传输 的 内 容 ,根据 组 织 的 需要 ,对 于 无 用 的 有 信息 安全 风 
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险 的 行为 进行 控制 ,阻止 对 组 织 有 害 的 网 络 访问 行为 的 发 生 , 极 大 地 提升 了 网 络 传输 内 容 
的 安全 性 。 


2.5.2 ”内 容 检查 技术 的 优 缺 点 


内 容 过 滤 的 优点 在 于 简单 ` 有 效 ,技术 已 比较 成 熟 ,使 用 也 比较 广泛 。 

内 容 过 滤 的 缺点 如 下 : 

(1) 内 容 过 滤 的 实质 还 是 关键 字 过 滤 , 只 是 内 容 过 滤 检 测 的 是 不 同类 型 的 关键 字 , 内 
容 过 滤 的 速度 取决 于 关键 字模 式 的 查找 速度 。 内 容 过 滤 的 精度 取决 于 特征 库 的 更 新 速 
度 ,如 果 特 征 库 更 新 速度 无 法 保证 ,那么 内 容 过 滤 也 是 无 意义 的 。 

(2) 内 容 过 滤 的 规则 制定 比较 困难 ,很 难 制定 出 比较 满意 的 过 滤 规则 。 

(3) 目前 大 多 数 内容 过 滤 技 术 在 网 络 的 应 用 层 实现 ,适应 性 和 安全 性 较 差 。 内 容 过 
滤 技 术 不 能 解决 的 问题 是 对 网 络 速度 的 负面 影响 ,因为 是 串 行 处 理 , 如 果 过 滤 过 程 中 出 现 
故障 ,会 使 网 络 不 通 。 

(4) 内 容 过 滤 主 要 是 针对 上 层 协议 的 内 容 信息 处 理 的 。 内 容 过 滤 是 针对 明文 进行 
的 。 一 些 经 过 加 密 的 信息 ,如 Base64 编码 .SSL、SSH 等 ,是 不 能 进行 内 容 过 滤 的 。 

(5) 内 容 过 滤 中 的 病毒 检测 过 程 需要 消耗 大 量 资 源 和 时 间 。 当 内 容 过 滤 完 成 后 , 需 
要 对 会 话 进行 还 原 ,也 会 耗费 大 量 的 资源 和 时 间 。 


(1) 简 述 状态 检测 技术 的 实现 过 程 。 

(2) 应 用 代理 技术 的 原理 是 什么 ? 有 什么 优 缺 点 ? 
(3) 什么 是 应 用 识别 技术 ? 

(4) DPI 技术 和 DFI 技术 的 区 别 有 哪 些 ? 

(5) 简 述 内 容 检查 技术 及 其 优 缺 点 。 
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第 3 音 
”防火 墙 网 络 部 署 


在 介绍 了 防火 墙 的 基本 原理 和 技术 之 后 ,本章 主要 介绍 防火 墙 的 网 络 部 署 ,主要 包括 
以 下 内 容 : 防火 墙 的 几 种 部 署 模式 以 及 每 种 模式 的 实现 过 程 ;IP 协议 及 IPv6 技术 ， 
VLAN 技术 的 原理 及 组 网 方式 ,划分 VLAN 的 原因 及 优 缺 点 ;各 种 路 由 协议 概念 及 原 
理 ,DHCP 服务 .DNS 透明 代理 ,代理 ARP.VPN .QoS 等 知识 。 


3 1 安全 域 和 接口 


安全 域 是 一 个 或 多 个 接口 的 集合 。 防 火 墙 通过 安全 域 来 划分 网 络 ,标识 数据 流动 的 
“路 线 ”。 当 数据 在 不 同 的 安全 域 之 间 流 动 时 ,防火 墙 会 根据 安全 域 的 安全 策略 决定 数据 
包 的 情况 。 

防火 墙 通过 接口 来 连接 网 络 ,将 接口 划分 到 安全 域 后 ,通过 接口 就 把 安全 域 和 网 络 关 
联 起 来 ,如 图 3-1 所 示 ,通常 说 某 个 安全 域 , 就 可 以 表示 该 安全 域 中 接口 所 连接 的 网 络 。 


安全 域 C 


图 3-1 安全 域 划 分 示意 图 


防火 墙 可 以 预定 义 安 全 域 ,通常 为 受信 域 .DMZ 和 非 受 信 域 。 用 户 可 以 根据 需要 自 
行 添加 新 的 安全 域 。 

受信 域内 网 络 的 受信 任 程度 高 ,通常 用 来 定义 内 部 用 户 所 在 的 网 络 。 

DMZ 内 网 络 的 受信 任 程度 中 等 ,通常 用 来 定义 公开 的 服务 器 所 在 的 网 络 。 

非 受信 域 代表 的 是 不 受信 任 的 网 络 , 通 常用 来 定义 Internet 等 不 安全 的 网 络 。 

如 图 3-2 所 示 ,假设 接口 1 连接 的 是 内 部 用 户 ,将 这 个 接口 划分 到 受信 域 中 ;接口 2 
连接 内 部 服务 器 ,将 这 个 接口 划分 到 DMZ 中 ;接口 3 连接 Internet, 将 它 划 分 到 非 受 
信 域 。 
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图 3-2 安全 域 示 意图 


在 防火 墙 上 ,每 个 安全 域 都 有 一 个 唯一 的 安全 级 别 , 用 数字 表示 ,数字 越 大 , 则 代表 该 
区 域内 的 网 络 越 可 信 。 

防火 墙 在 引入 安全 域 概念 的 同时 也 引入 了 域 间 的 概念 。 任 何不 同 的 安全 域 之 间 形 成 
域 间 关系 ,防火 墙 上 大 部 分 规则 都 在 域 间 配 置 。 为 便于 描述 域 间 关系 ,又 引入 了 域 间 方 向 
的 概念 : 

。 报 文 从 低级 别 的 安全 域 向 高 级 别 的 安全 域 流动 时 为 人 方向 (Inbound) 。 

。 报 文 从 高 级 别 的 安全 域 向 低级 别 的 安全 域 流动 时 为 出 方向 (Outbound) 。 

当 报 文 在 两 个 方向 上 流动 时 ,将 会 触发 不 同 的 安全 检查 。 图 3-3 标明 了 本 地 域 、 受信 
域 .DMZ 和 非 受信 域 之 间 的 域 间 方向 。 

通过 安全 域 , 防 火 墙 划 分 出 等 级 森严 .关系 明确 的 网 络 ,成 为 连接 各 个 网 络 的 节点 。 
以 此 为 基础 ,防火 墙 就 可 以 对 各 个 网 络 之 间 流 动 的 报 文 进行 安全 检查 和 实施 管控 策略 。 


3 IP 协议 


3.2.1 “IP 地 址 的 基本 概念 


互联 网 中 需要 有 一 个 全 局 的 地 址 系统 , 它 能 够 给 每 一 台 主 机 或 路 由 器 的 网 络 连 接 分 

配 一 个 全 局 唯一 的 地 址 。TCP/IP 协议 中 网 络 层 使 用 的 地 址 标识 符 叫 作 IP 地 址 ,是 IP 

协议 的 重要 组 成 部 分 , 它 可 以 识别 接 入 互联 网 中 的 任意 一 台 设 备 。IP 地 址 可 以 分 为 IPv4 
和 IPv6 两 大 类 。 

IP 地 址 采用 分 层 结构 ,由 网 络 号 (Net ID) 与 主机 号 (Host ID) 两 部 分 组 成 。IPv4 地 

址 长 度 为 32 位 ,为 点 分 十 进 制 (dotted decimal) 地 址 。 在 实际 运用 中 ,IP 地 址 资源 并 不 足 

以 应 对 迅速 增长 的 互联 网 设备 数量 ,因此 从 IP 地 址 中 拿 出 一 部 分 作为 私有 IP 地 址 ,此 类 

IP 地 址 不 能 被 路 由 到 Internet 骨干 网 上 ,需要 使 用 网 络 地 址 转换 (Network Address 
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非 受信 域 


图 3-3 ” 域 间 方向 


Translation, NAT) 转 换 为 公有 地 址 。 根 据 不 同 的 取 值 范围 ,IP 地 址 共 分 为 5 类 : 

(1) A 类 IP 地址。 网络 号 长 度 为 8 位 ,主机 号 长 度 为 24 位 ,地 址 范围 为 0. 0. 0. 0 一 
127. 255. 255. 255。 网 络 号 为 全 0 和 第 一 位 为 0、 其 余 7 位 为 全 1( 用 十 进 制 表 示 为 0 与 127) 
的 两 个 地 址 保留 用 于 特殊 目的 ,因此 实际 允许 有 126 个 不 同 的 A 类 网 络 。A 类 IP 地 址 
结构 适用 于 有 大 量 主 机 的 大 型 网 络 。 在 A 类 IP 地 址 中 ,私有 IP 地 址 范围 为 10. 0.0.0 一 
10. 255. 255. 255, 即 10. 0. 0. 0/8。 

(2) B 类 全 地 址 。 网 络 号 长 度 为 16 位 ,主机 号 长 度 为 16 位 ,地 址 范围 为 128. 0. 0. 0 一 
191.255.255.255。B 类 IP 地 址 适用 于 国际 性 大 公司 与 政府 机 构 等 使 用 。 在 B 类 IP 地 
址 中 ,私有 IP 地 址 范围 为 172. 16. 0. 0 一 172. 31. 255. 255, 即 172. 16. 0. 0/12。 

(3) C 类 IP 地 址 。 网 络 号 长 度 为 24 位 ,主机 号 长 度 为 8 位 ,地 址 范围 为 192. 0. 0. 0 一 
223.255. 255. 255。C 类 IP 地 址 适用 于 小 公司 与 普通 的 研究 机 构 。 在 C 类 IP 地 址 中 , 私 
有 IP 地 址 范围 为 192. 168. 0. 0 一 192. 168. 255. 255 , 即 192. 168. 0. 0/16 。 

(4) D 类 IP 地 址 。 不 标识 网 络 , 地 址 范围 为 224. 0. 0. 0 一 239. 255. 255. 255 ,用 于 其 
他 特殊 的 用 途 , 如 多 播 (multicasting ) 。 

(5) EE 类 IP 地址。 地 址 范围 为 240. 0. 0. 0 一 255. 255. 255. 255,E 类 地 址 保留 给 实验 
和 将 来 使 用 。 

IP 地 址 的 分 配 是 一 个 政策 性 的 问题 。ICANN (Internet Corporation for Assigned 
Names and Numbers) 是 Internet 的 中 心 管理 机 构 。ICANN 的 IANA(Internet Assigned 
Numbers Authority) 部 门 负责 将 IP 地 址 分 配给 5 个 区 域 性 的 互联 网 注册 机 构 (Reginal 
Internet Registry, RIR)。RIR 将 地 址 进一步 分 配给 当地 的 ISP, 如 中 国电 信和 中 国 网 通 。 
ISP 再 根据 自己 的 情况 ,将 IP 地 址 分 配给 机 构 或 者 直接 分 配给 用 户 。 机 构 可 以 进一步 在 
局 域 网 内 部 将 IP 地 址 分 配给 各 个 主机 。 
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3.2.2 IP 协议 


IP(Internet Protocol, 互 联网 协议 ) 是 网 络 层 的 主要 协议 之 一 , 它 是 为 了 计算 机 网 络 
相互 连接 进行 通信 而 设计 的 协议 .规定 了 连接 到 互联 网 上 的 所 有 计算 机 在 通信 时 应 遵守 
的 规则 。IP 协议 是 一 种 不 可 靠 、 无 连接 的 数据 报 传送 服务 协议 ,是 点 对 点 网 络 层 通 信 
协议 。 

网 络 层 (network layer) 是 实现 互联 网 的 最 重要 的 一 层 。 正 是 在 网 络 层 上 ,各 个 局 域 
网 根据 IP 协议 相互 连接 ,最 终 构 成 覆盖 全 球 的 互联 网 。 更 高 层 的 协议 ,无 论 是 TCP 还 是 
UDP, 必 须 通 过 网 络 层 的 IP 数据 包 来 传递 信息 。 

IP 数据 包 是 符合 IP 协议 的 信息 。IP 包 分 为 头 部 (header) 和 数据 (data) 两 部 分 。 头 
部 是 为 了 能 够 实现 传输 而 附加 的 信息 ,数据 部 分 是 要 传送 的 信息 。 


1. IPv4 协议 

IPv4 协议 是 IP 协议 的 第 4 版 ,是 第 一 个 被 广泛 使 用 ,也 是 构成 现今 互联 网 技术 基石 
的 协议 。IPv4 地 址 长 度 为 32 位 ,分 为 网 络 地 址 和 主机 地 址 两 个 部 分 。IPv4 数据 包 由 头 
部 和 实际 数据 组 成 : 数据 一 般 用 来 传送 其 他 协议 ;包头 主要 包括 版 本 、 包 头 长 度 、 服 务 类 
型 , 包 总 长 度 等 部 分 。IPv4 数据 包 格 式 如 图 3-4 所 示 。 
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版 本 | 包头 长 度 | ”服务 类 型 | 包 总 长 度 
i 标识 符 | 分 段 标志 | 段 偏 移 量 
包头 生存 时 间 协议 | 包头 校 验 和 
源 地 址 
目的 地 址 
可 选 字段 填充 
数据 部 分 


3-4 ”IPv4 数据 包 格式 


2. IPv6 协议 

随 着 互联 网 用 户 的 增多 ,32 位 地 址 资源 已 经 不 能 满足 用 户 的 需求 了 。IPv6 的 优势 就 
在 于 它 大 大 地 扩展 了 地 址 的 可 用 空间 ,其 地 址 占 16B, 可 以 满足 互联 网 发 展 的 需要 。IPv6 
地 址 有 128 位 ,通常 写成 8 组 ,每 组 为 4 个 十 六 进 制 数 的 形式 。IPv6 还 对 包头 进行 了 简 
化 ,提高 了 路 由 器 的 吞吐 量 , 同 时 强化 了 安全 功能 ,支持 数据 包 的 加 密 。 

IPv6 网 络 中 仍 需 要 使 用 防火 墙 \ 入 侵 检测 系统 等 安全 设备 ,但 由 于 IPv6 的 一 些 新 特 
点 ,IPv4 网 络 中 现 有 的 这 些 安全 设备 在 IPv6 网 络 中 不 能 直接 使 用 ,还 需要 做 出 一 些 

由 于 IPv6 相对 于 IPv4 在 数据 包头 上 有 了 很 大 的 改变 ,所 以 原来 的 防火 墙 产品 在 
IPv6 网 络 上 不 能 直接 使 用 ,必须 做 一 些 改进 。 针 对 IPv6 的 Socket( 套 接口 ) 函 数 已 经 在 
RFC 3493: Basic Socket Interface 下 ztensions for TIPu6 中 定义 ,以 前 的 应 用 程序 都 必须 
参考 新 的 API 做 相应 的 改动 。 

IPv4 中 防火 墙 过 滤 的 依据 是 IP 地 址 和 TCP/UDP 端口 号 。IPv4 中 IP 头 部 和 TCP 
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头 部 是 紧 接 在 一 起 的 ,而 且 其 长 度 是 固定 的 ,所 以 防火 墙 很 容易 找到 头 部 ,并 应 用 相应 的 
策略 。 然 而 在 IPv6 中 TCP/UDP 头 部 的 位 置 有 了 根本 的 变化 ,它们 不 再 是 紧 接 在 一 起 
的 ,通常 中 间 还 间隔 了 其 他 扩展 头 部 ,如 路 由 选项 头 部 .AH/ESP 头 部 等 。 防 火 墙 必须 读 
懂 整 个 数据 包 才能 进行 过 滤 操 作 , 这 对 防火 墙 的 处 理性 能 会 有 很 大 的 影响 。 


3.2.3 ”1Pv4 向 IPv6 的 过 渡 


2017 年 11 月 26 日 ,中 共 中 央 办 公 厅 、 国 务 院 办 公 厅 印发 了 《推进 互联 网 协议 第 六 版 
(CIPv6 规模 部 署 行动 计划 》, 并 发 出 通知 ,要 求 各 地 区 各 部 门 结合 实际 认真 贯彻 落实 。 和 希 
望 用 5 一 10 年 时 间 , 形 成 下 一 代 互 联网 自主 技术 体系 和 产业 生态 ,建成 全 球 最 大 规模 的 
IPv6 商业 应 用 网 络 ,实现 下 一 代 互 联网 在 经 济 社会 各 领域 深度 融合 应 用 ,成 为 全 球 下 一 
代 互 联网 发 展 的 重要 主导 力量 。 

目前 ,网 络 上 的 绝 大 部 分 设备 都 是 IPv4 设备 , 若 把 这 些 设 备 全 部 换 成 IPv6 设备 ,所 
需 的 成 本 巨大 ;另外 ,网 络 的 升级 换代 还 要 保证 不 中 断 现 有 业务 。 综 合 以 上 因素 ,从 IPv4 
过 渡 到 IPv6 注定 是 一 个 渐进 的 过 程 , 而 且 这 一 过 程 要 持续 相当 长 的 时 间 。 为 了 解决 这 些 
问题 ,IETF(Internet Engineering Task Force, 互 联网 工程 任务 组 ) 设 计 了 3 种 IPv4 向 
IPv6 过 渡 的 技术 : 

(1) 双 协 议 栈 (dual stack): 节点 上 同时 运行 IPv4 和 IPv6 两 套 协议 栈 。 

(2) 隧道 技术 (tunneling): 该 技术 将 IPv6 的 分 组 作为 无 结构 意义 的 数据 封装 在 
IPv4 数据 包 中 ,并 把 这 些 封装 了 的 数据 包 通 过 IPv4 网 络 送 往 一 个 IPv4 目的 节点 。 

(3) 附带 协议 转换 器 的 网 络 地 址 转换 器 (Network Address Translation-Protocol 
Translation, NAT-PT): NAT-PT 进行 IPv4 地 址 和 IPv6 地 址 转换 ,并 包括 协议 翻译 。 


1. 双 协 议 栈 

双 栈 是 指 同 时 支持 IPv4 协议 栈 和 IPv6 协议 栈 。 双 栈 节 点 同时 支持 与 IPv4 和 IPv6 
节点 的 通信 , 当 和 IPv4 节点 通信 时 需要 采用 IPv4 协议 栈 , 当 和 IPv6 节点 通信 时 需要 采 
用 IPv6 协议 栈 。 双 栈 节点 访问 业务 时 支持 通过 DNS 解析 结果 选择 通信 协议 栈 。 即 当 域 
名 解析 结果 返回 IPv4 或 IPv6 地 址 时 ,节点 可 用 相应 的 协议 栈 与 之 通信 。 

双 栈 方式 是 一 种 直观 地 解决 IPv4/IPv6 共存 问题 的 方式 ,但 只 有 当 通 信 双 方 数据 包 
通路 上 的 所 有 节点 设备 都 支持 双 栈 后 ,这 种 方式 才能 充分 发 挥 其 作用 。 

一 个 典型 的 IPv4/IPv6 双 协 议 栈 结构 如 图 3-5 所 示 。 在 以 太 网 中 ,数据 包头 的 协议 
字段 分 别 用 值 0x86DD 和 0x0800 来 区 分 所 采用 的 是 IPv6 还 是 IPv4。 


0 EE 
版 本 [包头 长 度 | ”服务 类 型 包 总 长 度 
标识 符 分 段 标志 段 偏 移 量 
生存 时 间 协议 包头 校 验 和 
源 地 址 
目的 地 址 
可 选 字段 填充 
数据 部 分 


3-5 ”IPv4/IPv6 双 协 议 栈 结构 
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双 栈 方式 的 工作 机 制 可 以 简单 描述 为 : 链 路 层 解析 出 接收 到 的 数据 包 的 数据 段 , 拆 
开 并 检查 包头 。 如 果 IPv4/IPv6 包头 中 的 第 一 个 字段 , 即 


IP 包 的 版 本 号 是 4, 该 包 就 由 IPv4 的 协议 栈 来 处 理 ; 如 果 EW6 届 用 乱 床 
版 本 号 是 6, 则 由 IPv6 的 协议 栈 处 理 。 | | 
IPv4/IPv6 双 协 议 栈 的 工作 过 程 如 图 3-6 所 示 。 
双 栈 机 制 是 使 IPv6 节点 与 IPv4 节点 兼容 的 最 直接 | Tc? 本 
的 方式 ,互通 性 好 ,易于 理解 。 但 是 双 协 议 栈 的 使 用 将 增 。 ”| 一- | 
加 内 存 开销 和 CPU 占用 率 ,降低 设备 的 性 能 ,也 不 能 解决 a 
地 址 紧缺 问题 。 同 时 由 于 需要 双 路 由 基础 设施 ,这 种 方式 | 1Pv4 协 议 栈 IPv6 协 议 栈 
反而 增加 了 网 络 的 复杂 度 。 1 
2. 隧道 技术 ee 0 
随 着 IPv6 网 络 的 发 展 ,出 现 了 许多 局 部 的 IPv6 网 J J 
络 。 为 了 实现 这 些 孤 立 的 IPv6 网 络 之 间 的 互通 ,人们 采 以 太 网 
用 了 隧道 技术 。 隧 道 技术 是 在 IPv6 网 络 与 IPv4 网 络 间 册 ， AIAA 
的 隧道 入口 处 ,由 路 由 器 将 IPv6 的 数据 分 组 封装 到 IPv4 的 工作 过 程 


分 组 中 。IPv4 分 组 的 源 地 址 和 目的 地 址 分 别 是 隧道 入口 
和 出 口 的 IPv4 地 址 。 在 隧道 的 出 口 处 拆 封 IPv4 分 组 并 剥离 出 IPv6 数据 包 。 

隧道 技术 的 优点 在 于 隧道 的 透明 性 ,IPv6 主机 之 间 的 通信 可 以 忽略 隧道 的 存在 , 隧 
道 只 起 到 物理 通道 的 作用 。 在 IPv6 发 展 初期 ,隧道 技术 穿越 现存 IPv4 网 络 ,实现 了 IPv6 
孤岛 间 的 互通 ,逐步 扩大 了 IPv6 的 实现 范围 ,因而 是 IPv4 向 IPv6 过 渡 初 期 最 易于 采用 
的 技术 。 但 是 隧道 技术 不 能 实现 IPv4 主机 与 IPv6 主机 的 直接 通信 。 

IPv6 网 络 边缘 设备 收 到 IPv6 网 络 的 IPv6 报 文 后 ,将 IPv6 报 文 封装 在 IPv4 报 文 中 ， 
成 为 一 个 IPv4 报 文 ,在 IPv4 网 络 中 传输 到 目的 IPv6 网 络 的 边缘 设备 后 , 解 封装 , 即 去 掉 
外 部 IPv4 头 ,恢复 原来 的 IPv6 报 文 ,进行 IPv6 转发 ,如 图 3-7 所 示 。 


IPv6 隧 道 
CS © OO 
节点 A IPv6 网 络 IPv4 网 络 路 由 器 IPv6 网 络 节点 B 


图 3-7 ”IPv6 报 文 穿越 IPv4 隧道 


用 于 IPv6 穿越 IPv4 网 络 的 隧道 技术 主要 有 两 个 。 

1) IPv6 手工 配置 隧道 

IPv6 手工 配置 隧道 的 源 和 目的 地 址 是 手工 指定 的 , 它 提 供 了 一 个 点 到 点 的 连接 。 
IPv6 手工 配置 隧道 可 以 建立 在 两 个 边界 路 由 器 之 间 ,为 被 IPv4 网 络 分 离 的 IPv6 网 络 提 
供 稳 定 的 连接 ;或 建立 在 终端 系统 与 边界 路 由 器 之 间 ,为 终端 系统 访问 IPv6 网 络 提供 连 
接 。 隧 道 的 端点 设备 必须 支持 IPv4/IPv6 双 协 议 栈 。 其 他 设备 只 需 实现 单 协议 栈 即 可 。 

IPv6 手工 配置 隧道 要 求 在 设备 上 手工 配置 隧道 的 源 地 址 和 目的 地 址 。 如 果 一 个 边 
界 设 备 要 与 多 个 设备 建立 手工 隧道 ,就 需要 在 设备 上 配置 多 个 隧道 。 所 以 手工 隧道 通常 

33 


防火墙 技 术 及 应 用 mw 


用 于 两 个 边界 路 由 器 之 间 ,为 两 个 IPv6 网 络 提供 连接 。 

一 个 手工 隧道 在 设备 上 以 一 个 虚拟 隧道 接口 的 方式 存在 ,从 IPv6 侧 收 到 一 个 IPv6 
报 文 后 ,根据 IPv6 报 文 的 目的 地 址 查找 IPv6 转发 表 , 如 果 该 报 文 是 从 此 虚拟 隧道 接口 转 
发 出 去 的 , 则 根据 隧道 接口 配置 的 隧道 源 端 和 目的 端的 IPv4 地 址 进行 封装 。 封 装 后 的 
报 文 变 成 一 个 IPv4 报 文 , 交 给 IPv4 协议 栈 处 理 。 报 文通 过 IPv4 网 络 转发 到 隧道 的 
终点 。 

隧道 终点 收 到 一 个 隧道 协议 报 文 后 ,进行 隧道 解 封装 。 并 将 解 封装 后 的 报 文 交 给 
IPv6 协议 栈 处 理 。 一 个 设备 上 不 能 配置 两 个 源 和 目的 地 址 都 相同 的 IPv6 手工 隧道 。 手 
动 配置 隧道 如 图 3-8 所 示 。 


IPv6 网 络 双 栈 路 由 器 1 IPv4 网 络 双 栈 路 由 器 2 IPv6 网 络 
IPv4: 192.168.99.1 IPv4: 192.168.30.1 
IPv6: 2001:db8:800;1::3 IPv6: 2001:db8:800:1::2 


3-8 手动 配置 隧道 


2) 6to4 自动 隧道 

6to4 自动 隧道 也 是 使 用 内 幅 在 IPv6 地 址 中 的 IPv4 地 址 建立 的 。6to4 自动 隧道 可 
以 将 多 个 IPv6 域 通过 IPv4 网 络 连接 到 IPv6 网 络 。 与 IPv4 兼容 自动 隧道 不 同 ,6to4 自 
动 隧道 支持 路 由 器 到 路 由 器 .主机 到 路 由 器 、 路 由 器 到 主机 、 主 机 到 主机 。 这 是 因为 6to4 
地 址 用 IPv4 地 址 作为 网 络 标识 ,其 地 址 格式 如 图 3-9 所 示 。 


Ha- 一 at 一 -一 2 一 -|- 一 ie 一 -~- 64b -| 


FP TLA 
001 0x0002 IPv4 地 址 SLAID 接口 ID 


图 3-9 6to4 自动 隧道 地 址 格式 


其 格式 前 级 (FP) 为 二 进 制 的 001, 这 是 可 聚合 全 局 单 播 地 址 的 格式 前 级 ;TLA 为 
0x0002, 这 是 顶级 聚合 标识 符 。 也 就 是 说 ,6to4 节点 的 IPv6 地 址 前 级 是 统一 的 2002::/ 
16 地 址 空间 ,而 一 个 6to4 网 络 可 以 表示 为 2002:IPv4 地 址 ::/48。 

通过 6to4 自动 隧道 ,可 以 让 孤立 的 IPv6 网 络 之 间 通 过 IPv4 网 络 连 接 起 来 。6to4 自 
动 隧道 是 通过 虚拟 隧道 接口 实现 的 ,6to4 自动 隧道 入 口 的 IPv4 地 址 手工 指定 ,隧道 的 目 
的 地 址 根据 通过 隧道 转发 的 报 文 来 决定 。 如 果 IPv6 报 文 的 目的 地 址 是 6to4 隧道 地 址 ， 
则 从 报 文 的 目的 地 址 中 提取 出 IPv4 地 址 作为 隧道 的 目的 地 址 ;如 果 IPv6 报 文 的 目的 地 
址 不 是 6to4 隧道 地 址 ,但 下 一 跳 是 6to4 隧道 地 址 , 则 从 下 一 跳 地 址 中 取出 IPv4 地 址 作 
为 隧道 的 目的 地 址 ,这 也 称 为 6to4 中 继 。6to4 隧道 的 工作 过 程 如 图 3-10 所 示 。 


3. 附带 协议 转换 器 的 网 络 地 址 转换 器 
附带 协议 转换 器 的 网 络 地址 转换 器 允许 只 支持 IPv6 协议 的 主机 与 只 支持 IPv4 协议 
的 主机 互联 ,一 个 位 于 IPv4 网 络 和 IPv6 网 络 边 界 的 设备 负责 在 IPv4 报 文 与 IPv6 报 文 
之 间 进 行 转换 。NAT-PT 把 SIIT 协议 转换 技术 和 IPv4 网 络 的 动态 地 址 转换 技术 结合 
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IPv6 主 机 IPv6 网 络 IPv4 网 络 IPv6 网 络 。 IPv6 主 机 
CCC 
192.168.99.1 192.168.30.1 
2002:db8:6301::/48 2002:db8:1e01::/48 


3-10 6to4 隧道 的 工作 过 程 


在 一 起 , 它 利 用 了 SIIT 技术 的 工作 机 制 ,同时 又 利用 传统 的 IPv4 下 的 NAT 技术 来 动态 
地 给 访问 IPv4 节点 的 IPv6 节点 分 配 IPv4 地 址 ,很 好 地 解决 了 SIIT 技术 中 全 局 IPv4 地 
址 池 规 模 有 限 的 问题 。 同 时 ,通过 传输 层 端 口 转换 技术 使 多 个 IPv6 主机 共用 一 个 IPv4 
地 址 。NAT-PT 的 工作 原理 如 图 3-11 所 示 。 


IPv6 网 络 


IPv6 报 文 


源 地 址 :FECD: BA98::7654:3210 已 >> 己 > ” 源 地 址 (从 地 址 池 中 获得 ): 120.130.26.10 
目的 地 址 : Prefix::132.146.243.30 目的 地 址 : 132.146.243.30 


地 址 池 为 120.130.26.0/24 

形成 的 映射 表 如 下 : 

FECD: BA98::7654:3210 <- 一 > 120.130.26.10 
Prefix::132.146.243.30 < 一 > 132.146.243.30 


图 3-11 NAT-PT 的 工作 原理 


NAT-PT 设备 上 需要 设置 IPv4 主机 的 转换 规则 、IPv6 主机 的 转换 规则 、IPv6 主机 
使 用 的 IPv4 地 址 。 报 文 经 过 NAT-PT 设备 时 ,根据 NAT-PT 的 转换 规则 对 报 文 进行 协 
议 转 换 。 转 换 规则 分 为 如 下 几 种 : 
。 IPv4 主机 的 静态 规则 : 一 个 IPv4 主机 对 应 一 个 虚拟 的 IPv6 地 址 。 
。 IPv4 主机 的 动态 规则 : 规定 一 组 IPv4 主机 的 地 址 如 何 映射 成 IPv6 地 址 。 通 常 
是 指定 一 个 96 位 的 前 级 添加 在 原 IPv4 地 址 前 面 组 成 一 个 IPv6 地 址 。 
。 IPv6 主机 的 静态 转换 规则 : 一 个 IPv6 主机 对 应 一 个 虚拟 IPv4 地 址 。 
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。 IPv6 主机 的 动态 转换 规则 : 规定 一 组 IPv6 主机 与 IPv4 地 址 的 对 应 关系 ,IPv4 地 
址 是 多 个 IPv6 主机 共享 的 资源 。 
静态 NAT-PT 是 由 NAT-PT 网 关 静 态 配置 IPv6 和 IPv4 地 址 绑 定 关系 。 当 IPv4 
主机 与 IPv6 主机 之 间 互 通 时 ,其 报 文 在 经 过 NAT-PT 网 关 时 由 网 关 根 据 配置 的 绑 定 关 
系 进行 转换 。 不 管 是 IPv6 主机 还 是 IPv4 主机 ,如 果 配 置 了 静态 绑 定 关系 , 则 另 一 侧 的 主 
机 可 以 主动 向 其 发 起 连接 ,如 图 3-12 所 示 。 


节点 A NAT-PT 
2001 :db8 :fFFF:1 ::1 C9 
192.0.2.1 
源 地 址 目的 地 址 me 源 地 址 目的 地 址 
2001:dbg:ffff:1::1 | | 2001:dbg:ffff:ffff:: aNAT-PT 转 换 192.0.2.2 192.0.30.1 


3-12 静态 NAT-PT 工作 原理 


静态 配置 对 那些 经 常 在 线 或 需要 提供 稳定 连接 的 主机 比较 适合 。 对 于 那些 不 经 常 使 
用 的 主机 ,可 以 采用 动态 配置 的 方法 。 

如 图 3-13 所 示 ,IPv4 侧 主机 采用 了 静态 映射 ,而 IPv6 侧 主机 采用 动态 映射 。 当 PC1 
向 PC2 发 送 报 文 时 ,其 源 地 址 为 2001:db2::1, 目 的 地 址 为 2001:ad::1。 此 报 文 在 到 达 
NAT-PT 网 关 时 ,目的 地 址 符合 IPv4 静态 规则 ,IPv4 报 文 的 目的 地 址 为 101. 1. 1.1。 而 
IPv6 报 文 的 源 地 址 符合 IPv6 主机 的 动态 规则 , 则 从 规则 的 地 址 池 中 选择 一 个 未 使 用 的 
地 址 ,假设 是 16. 1. 1. 10 ,作为 IPv4 报 文 的 源 地 址 。 那 么 转换 后 的 IPv4 报 文 就 是 源 地 址 
为 16.1.1.10, 目 的 地 址 为 101.1.1.1。 


mm 


PC1 IPv6 主 机 四 PC2 IPv4 主 机 
2001:db2::1 IPv6 网 络 IPv4 网 络 101.1.1.1 
2001:db2:1::1 -=| 2001:ad::l 161110 Fe 10L111 
2001:db2:1:1 | 2001:ad::l 161110 | 10L111 


3-13 动态 NAT-PT 示意 图 


在 动态 NAT-PT 中 ,IPv4 地 址 池 中 的 地 址 可 以 复 用 ,也 就 是 若干 个 IPv6 地 址 可 以 
转换 为 一 个 IPv4 地 址 , 它 利 用 了 上 层 协议 (UDP/VTCP 的 端口 ) 映 射 的 方法 。 

动态 NAT-PT 改进 了 静态 NAT-PT 配置 复杂 消耗 大 量 IPv4 地 址 的 缺点 。 由 于 它 
采用 了 上 层 协议 映射 的 方法 ,所 以 只 用 很 少 的 IPv4 地 址 就 可 以 支持 大 量 的 IPv6 地 址 到 
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IPv4 地 址 的 转换 。 但 由 于 IPv6 侧 的 映射 是 动态 的 ,如 果 IPv4 主机 向 IPv6 主机 发 起 连 
接 , 由 于 不 知道 IPv6 主机 应 用 映射 后 的 结果 ,所 以 无 法 直接 与 IPv6 主机 连接 。 这 需要 结 
合 DNS ALG 来 实现 。 

应 用 层 网 关 (Application Level Gateway, ALG) 通 过 使 用 DNS ALG ,可 以 做 到 IPv4 
与 IPv6 网 络 中 任 一 方 均 可 主动 发 起 连接 ,只 需要 配置 一 个 DNS 服务 器 的 静态 映射 即 可 。 

例如 ,IPv4 主机 要 访问 IPv6 主机 www. abc. com, 首 先 向 IPv6 网 络 中 的 DNS 发 出 
名 字 解 析 请 求 , 报 文 类 型 为 A 类 查询 报 文 。 这 个 请 求 到 达 NAT-PT 后 ,NAT-PT 对 报 文 
头 部 按 普通 报 文 进行 转换 。 同 时 ,由 于 DNS 报 文 需要 进行 ALG 处 理 , 把 A 类 查询 报 文 
转换 成 AAAA 或 A6 类 查询 报 文 ,然后 将 此 报 文 转发 给 IPv6 网 络 内 的 DNS, 如 图 3-14 


-ee @ 


PC1 IPv4 主 机 PC2 IPv6 主 机 


IPv4 网 络 IPv6 网 络 


101.11.1 www.abc.com 
2001:db2::1 
一 一 
Type=A Type=AAAA 
Q=www.abc.com Q=www.abc.com 
一 一 
Type=A Type=AAAA 
RIT R=2001.db2::1 
i 一 
101.1.1.1~17.1.1.11 2001.ad::1~2001:db2::1 


图 3-14 NAT-PT DNS ALG 示意 图 


IPv6 网 络 中 的 DNS 收 到 报 文 后 ,查询 自己 的 记录 表 , 解 析出 主机 www. abc. com 的 
IPv6 地 址 是 2001:db2: :1, 回 应 查询 结果 。NAT-PT 对 此 报 文 的 报 文 头 进行 转换 ,同时 ， 
DNS ALG 将 其 中 的 DNS 应 答 部 分 也 进行 修改 ,把 AAAA 或 A6 类 应 答 转 成 A 类 应 答 ， 
并 从 IPv4 地 址 池 中 分 配 一 个 地 址 17. 1. 1. 11 ,替换 应 答 中 的 IPv6 地 址 2001:db22::1, 并 
记录 二 者 之 间 的 映射 信息 。 

IPv4 主机 在 收 到 此 DNS 应 答 之 后 ,就 知道 了 主机 www. abc. com 的 IPv4 地 址 是 
17.1.1.11。 于 是 发 起 到 主机 www. abc. com 的 连接 。 由 于 在 NAT-PT 中 已 经 记录 了 
IPv4 地 址 17. 1.1. 11 与 IPv6 地 址 2001:db2::1 之 间 的 映射 信息 ,因此 可 以 对 地 址 进行 
转换 。 

NAT-PT 不 必修 改 已 存在 的 IPv4 网 络 就 可 实现 内 部 网 络 IPv4 主机 对 外 部 网 络 
IPv6 主机 的 访问 , 且 通 过 上 层 协议 映射 使 大 量 的 IPv6 主机 使 用 同一 个 IPv4 地 址 ,节省 
了 宝贵 的 IPv4 地 址 ,所 以 是 一 个 很 优秀 的 IPv4 与 IPv6 网 络 之 间 的 过 渡 技术 。 但 NAT- 
PT 也 有 它 的 缺点 ,属于 同一 会 话 的 请 求 和 响应 都 要 通过 同一 NAT-PT 设备 ,对 NAT- 
PT 设备 的 性 能 要 求 很 高 。 
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Se VLAN 技术 


3.3.1 VLAN 技术 原理 


虚拟 局 域 网 (Virtual Local Area Network,VLAN) 是 一 种 不 受 物理 网 络 分 段 或 者 传 
统 LAN 限制 的 一 组 网 络 服务 。 它 可 以 根据 企业 或 机 构 的 组 织 结构 的 需要 ,基于 功能 、 部 
门 及 应 用 等 因素 将 交换 网 络 从 逻辑 上 分 段 ,而 不 受 网 络 用 户 的 物理 位 置 限制 ,所 有 在 同一 
个 VLAN 里 的 主机 可 以 共享 资源 ,如 图 3-15 所 示 。 


交换 机 
VLANI1 VLAN3 
VLAN2 


3-15 ”虚拟 局 域 网 示意 图 


VLAN 工作 在 OSI 网 络 参 考 模型 的 第 二 层 和 第 三 层 ,一 个 VLAN 就 是 一 个 广播 域 ， 
VLAN 之 间 的 通信 和 是 通过 第 三 层 的 路 由 器 来 完成 的 。 二 层 交换 机 不 能 让 VLAN 之 间 互 
相 访问 ,VLAN 之 间 的 访问 只 能 通过 三 层 交 换 机 来 实现 ,所 以 在 组 建 VLAN 时 一 般 要 求 
要 有 三 层 交换 机 ,这 样 才能 实现 不 同 VLAN 之 间 的 通信 。 一 个 VLAN 内 部 的 广播 和 单 
播 流量 都 不 会 转发 到 其 他 VLAN 中 。 即 使 是 两 台 计 算 机 有 着 同样 的 网 段 ,但 由 于 它们 有 
不 同 的 VLAN 号 ,它们 各 自 的 广播 也 不 会 相互 转发 ,从 而 有 助 于 控制 流量 ,减少 设备 投 
资 ,简化 网 络 管理 和 提高 网 络 的 安全 性 。 

在 计算 机 网 络 中 ,一 个 二 层 网 络 可 以 被 划分 为 多 个 不 同 的 广播 域 ,一 个 广播 域 对 应 一 
个 特定 的 用 户 组 ,默认 情况 下 这 些 不 同 的 广播 域 是 相互 隔离 的 。 不 同 的 广播 域 之 间 通 信 
时 需 通过 一 个 或 多 个 路 由 器 。 这 样 的 一 个 广播 域 就 称 为 VLAN。 

VLAN 的 划分 方式 共有 4 种 : 基于 端口 的 VLAN、 基 于 MAC 地 址 的 VLAN、 基 于 网 
络 层 的 VLAN 和 基于 IP 多 播 的 VLAN。 

基于 端口 的 VLAN 也 称 静 态 VLAN .是 最 简单 .最 有 效 的 VLAN 划分 方法 , 它 按照 
局 域 网 交换 机 端口 来 定义 VLAN 成 员 。VLAN 从 逻辑 上 划分 局 域 网 交换 机 的 端口 ,从 
而 将 终端 系统 划分 为 不 同 的 部 分 ,各 部 分 相对 独立 ,在 功能 上 模拟 了 传统 的 局 域 网。 属于 
这 种 VLAN 的 端口 通常 通过 交换 机 以 命令 行 的 形式 加 入 VLAN, 当 交换 机 上 某 一 个 端 
口 被 加 入 到 某 一 个 VLAN 之 后 ,就 固定 不 变 , 除 非 重新 配置 。 配 置 完成 以 后 ,当主 机 连接 
到 某 一 端口 后 ,该 主机 就 进入 该 端口 所 属 的 VLAN ,能 与 该 VLAN 中 的 主机 相互 通信 。 
此 种 划分 方式 如 图 3-16 所 示 。 
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Switch A 的 VLAN 表 
VLAN Port 
VLAN] 1,3,4 
VLAN2 2 
VLAN3 5 


网 络 层 


192.20.21.0 192.20.24.0 192.30.20.0 


图 3-16 基于 端口 的 VLAN 


基于 MAC 地 址 的 VLAN 也 称 为 动态 VLAN。 它 是 用 系统 的 MAC 地 址 定义 的 
VLAN。 这 种 方式 的 VLAN 根据 主机 的 MAC 地 址 来 划分 ,所 以 所 有 用 户 必 须 明确 地 分 
配 一 个 VLAN。 这 种 VLAN 允许 工作 站 移动 到 网 络 的 其 他 物理 网 段 时 自动 保持 原来 的 
VLAN 成 员 资 格 。 该 方案 在 网 络 规模 较 小 的 时 候 是 一 个 很 好 的 选择 ,并 且 其 相对 于 静态 
VLAN 最 大 的 优点 在 于 : 当 用 户 的 物理 位 置 发 生变 化 时 ,VLAN 不 用 重新 配置 ,用 户 会 
自动 保留 其 所 属 VLAN 组 的 成 员 身 份 。 其 缺点 是 : 随 着 网 络 规模 的 扩大 和 网 络 设备 、 用 
户 的 增加 ,其 管理 难度 也 会 大 大 增加 。 此 种 划分 方式 如 图 3-17 所 示 。 


3-17 基于 MAC 地 址 的 VLAN 


基于 网 络 层 的 VLAN 有 两 种 方案 : 一 种 是 按 网 络 层 协议 来 划分 ; 另 一 种 则 是 按 网 络 
地 址 来 划分 。 这 种 方法 在 新 增 节 点 时 实现 比较 方便 、 简 单 ,交换 机 会 根据 IP 地 址 自动 将 
其 划分 到 不 同 VLAN。 但 其 缺点 是 涉及 网 络 层 协议 或 网 络 地 址 的 处 理 , 速 度 比 较 慢 。 此 
种 划分 方式 如 图 3-18 所 示 。 


交换 机 交换 机 
mm PPTTIIITIID 


JP user5 JIPuser6” 


~ VLAN2 


AppleTalk user7 AppleTalk userl0 - 


oe ke UNIXE 
Mn IPX user4 国 


‘IPX userl IPX gervet 协议 类 型 | 所属 VLAN 
\ 四 VLANI 
; AppleTalk “| VLAN2 
IP&IPX user9 


3-18 ”基于 网 络 层 的 VLAN 


基于 IP 多 播 的 VLAN 认为 任何 属于 同一 IP 多 播 组 的 主机 都 属于 同一 VLAN。 所 
有 加 入 同一 个 广播 域 的 工作 站 均 被 视 为 同一 个 VLAN 的 成 员 ,并 且 成 员 身 份 可 根据 实际 
需要 保留 一 定时 间 。 这 种 方式 带 来 了 巨大 的 灵活 性 和 可 延展 性 ,可 以 将 VLAN 扩展 到 广 
域 网 ,但 其 效率 不 高 。 此 种 划分 方式 如 图 3-19 所 示 。 


交换 机 | 交换 机 


VLAN3 一 


MAC 地 址 | 所 属 VLAN 
7 、 Hostl |VLAN3 
£ Hostl Host7 \ Host2 VLAN1 
{ | Host3 VLAN3 


Host4 VLANI 


EI > Host5 |VLANI 
> Host6 |VLAN2 


Sniffer | Host8— Host7 IVLAN3 
Hosts |VLAN3 
Host9 |VLAN2 


3-19 ”基于 IP 多 播 的 VLAN 
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3.3.2 ”VLAN 技术 的 优 缺 点 


采用 VLAN 时 可 将 某 个 交换 机 端口 划 到 某 个 VLAN 中 ,而 一 个 VLAN 的 广播 风暴 
不 会 影响 其 他 VLAN 的 性 能 。 并 且 VLAN 能 确保 网 络 的 安全 性 。 共 享 式 局 域 网 之 所 以 
很 难保 证 网 络 的 安全 性 ,是 因为 只 要 用 户 插入 一 个 活动 端口 就 能 访问 网 络 ;而 VLAN 能 
限制 个 别 用户 的 访问 ,控制 广播 组 的 大 小 和 位 置 ,甚至 能 锁定 某 台 设备 的 MAC 地 址 。 

基于 端口 的 VLAN 的 优点 为 : 由 于 一 个 端口 就 是 一 个 独立 的 局 域 网 ,所 以 , 当 数据 
在 网 络 中 传输 的 时 候 , 交 换 机 就 不 会 把 数据 包 转 发 给 其 他 的 端口 。 如 果 用 户 需 要 将 数据 
发 送 到 其 他 的 VLAN 中 ,就 需要 先 由 交换 机 发 往 路 由 器 ,再 由 路 由 器 发 往 其 他 端口 ;同时 
以 端口 为 中 心 的 VLAN 中 完全 由 用 户 自 由 支配 端口 ,无 形 之 中 就 更 利于 管理 。 但 是 其 不 
足 之 处 在 于 : 当 用 户 位 置 改变 时 ,往往 也 伴随 着 网 线 的 迁移 。 如 果 不 会 经 常 移动 客户 机 ， 
这 是 一 种 较 好 的 方式 。 

静态 VLAN 与 基于 端口 的 VLAN 有 一 些 相 似 之 处 ,用 户 可 在 交换 机 上 让 一 个 或 多 
个 交换 机 端口 形成 一 个 略 大 一 些 的 VLAN。 从 一 定 意义 上 讲 ,静态 VLAN 在 某 种 程度 
上 弥补 了 基于 端口 的 VLAN 的 缺点 。 从 缺陷 方面 来 看 ,静态 VLAN 虽说 是 可 以 将 多 个 
端口 设置 成 一 个 VLAN ,但 是 假如 两 个 不 同 端口 不同 VLAN 的 人 员 聚 到 一 起 协商 一 些 
事情 ,就 会 出 现 问题 ,因为 端口 及 VLAN 的 不 一 致 往往 会 直接 导致 某 个 VLAN 的 人 员 不 
能 正常 访问 他 原先 所 在 的 VLAN (静态 VLAN 的 端口 在 同一 时 间 只 能 属于 同一 个 
VLAN) ,这 样 就 需要 网 络 管理 人 员 随 时 配合 ,及 时 修改 该 线路 上 的 端口 。 

与 以 上 两 种 VLAN 的 划分 方式 相 比 ,动态 VLAN 具有 很 多 优点 。 首 先 , 它 适用 于 当 
前 的 无 线 局 域 网 技术 。 其 次 , 当 用 户 需 要 对 工作 基点 进行 移动 时 ,完全 不 用 担心 在 静态 
VLAN 与 基于 端口 的 VLAN 出 现 的 一 些 问 题 会 在 动态 VLAN 中 出 现 ,因为 动态 VLAN 
在 建立 初期 已 经 由 网 络 管理 员 将 整个 网 络 中 的 所 有 MAC 地 址 都 输入 到 路 由 器 中 ,同时 
由 路 由 器 通过 MAC 地 址 来 自动 区 分 每 一 台 计 算 机 属于 哪 一 个 VLAN ,之 后 将 这 台 计 算 
机 连接 到 对 应 的 VLAN 中 。 与 以 上 两 种 VLAN 的 组 成 方式 相 比 ,动态 VLAN 的 缺点 较 
少 ,主要 不 便 之 处 是 : 在 VLAN 建立 初期 ,网 络 管理 人 员 需 将 所 有 计算 机 的 MAC 地 址 进 
行 登记 ,然后 划分 出 MAC 地 址 对 应 计算 机 的 不 同 权 限 。 与 传统 的 局 域 网 技术 相 比 较 ， 
VLAN 技术 更 加 灵活 。 它 具有 以 下 优点 : 网 络 设备 的 移动 .添加 和 修改 的 管理 开销 小 ;可 
以 控制 广播 活动 ;可 提高 网 络 的 安全 性 。 


3.4 路 由 


在 对 防火 墙 设备 进行 初始 化 时 ,为 其 配置 IP 路 由 是 最 基本 的 步骤 。 路 由 是 防火 墙 设 
备 判 断 数 据 包 转 发 路 径 的 进程 ,路 由 表 中 包含 了 一 个 IP 网 络 地 址 列表 ,防火 墙 设备 可 以 
通过 该 列表 提供 路 由 转发 服务 。 当 地 址 转换 和 其 他 处 理 任 务 完 成 以 后 ,路 由 条 目 可 以 判 
断 出 为 了 把 数据 包 发 往 特定 目的 网 络 而 应 该 将 数据 包 交 给 哪个 接口 和 网 关 。 如 果 路 由 表 
中 存在 有 效 的 路 由 条 目 , 路 由 转发 机 制 使 用 数据 包头 部 的 目的 IP 地 址 来 决定 是 否 要 转发 
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这 个 数据 包 ; 如 果 路 由 表 中 没有 有 效 路 由 条 目 , 防 火 墙 设备 就 会 丢弃 这 个 数据 包 。 

360 新 一 代 智 慧 防 火 墙 提供 了 全 面 、 完 善 的 路 由 功能 ,不 仅 支持 IPv4 静态 路 由 ,还 支 
持 IPv6 静态 路 由 ,支持 静态 多 播 路 由 及 动态 多 播 路 由 ,支持 多 种 动态 路 由 ,如 RIP、OS- 
PF、BGP、RIPng、OSPFv3、BGP4 十 ,扩大 了 防火 墙 系统 工作 在 路 由 模式 下 时 的 网 络 适应 
能 力 及 对 IPv6 网 络 的 适应 能 力 。 


3.4.1 静态 路 由 


静态 路 由 是 实现 数据 包 转 发 最 简单 的 方式 。 静 态 路 由 将 去 往 特定 目的 网 络 的 流量 转 
发 给 路 由 条 目 中 明确 指定 的 某 个 下 一 跳 直 连 设备 。 对 于 防火 墙 设备 直 连 的 网 络 ,无 须 配 
置 任何 路 由 条 目 来 实现 转发 。 在 透明 模式 下 ,对 于 由 防火 墙 设备 自身 产生 并 去 往 非 直 连 
网 络 的 流量 ,需要 指定 静态 路 由 。 

静态 路 由 可 以 为 防火 墙 设备 提供 路 由 信息 ,而 不 需要 使 用 任何 动态 路 由 。 静 态 路 由 
比 任 何 动态 路 由 的 优先 级 都 高 ,在 设备 需要 将 流量 转发 到 目的 地 时 ,静态 路 由 往往 是 转发 
的 第 一 选择 。 静 态 路 由 的 管理 距离 默认 为 1, 这 就 是 说 它 的 优先 级 高 于 所 有 的 动态 路 由 ， 
仅 次 于 直 连 路 由 。 而 直 连 路 由 的 优先 级 高 于 所 有 动态 和 静态 路 由 。 当 有 很 多 路 由 条 目 都 
可 以 匹配 某 个 特定 的 MAC 地 址 时 ,优先 选择 最 长 匹配 的 路 由 条 目 。 最 长 匹配 的 条 目 是 
指 匹配 路 由 掩 码 位 数 最 多 的 那个 条 目 。 

静态 路 由 需要 由 用 户 或 网 络 管理 员 手 工 配置 路 由 信息 。 当 网 络 的 拓扑 结构 或 链 路 的 
状态 发 生变 化 时 ,网 络 管理 员 需 要 手工 修改 路 由 表 中 相关 的 静态 路 由 信息 。 静 态 路 由 信 
息 在 默认 情况 下 是 私有 的 ,不 会 传递 给 其 他 的 路 由 器 。 当 然 ,网 络 管理 员 也 可 以 对 路 由 器 
进行 设置 ,使 之 成 为 共享 的 。 静 态 路 由 一 般 适 用 于 比较 简单 的 网 络 环境 ,在 这 样 的 环境 
中 ,网 络 管理 员 易 于 清楚 地 了 解 网 络 的 拓扑 结构 ,便于 设置 正确 的 路 由 信息 。 静 态 路 由 转 
发 过 程 如 图 3-20 所 示 。 

网 络 ! 网 络 2 


网 172.46W0 
mon 上 


A & SO 路 由 器 A 
me 
NO 1622 | [J | 


IP router 0.0.0.0 0.0.0.0 172.16.2.2 


3-20 ”静态 路 由 转发 过 程 


在 图 3-20 中 , 当 需 要 经 过 静态 路 由 A 向 主机 发 送 数 据 时 ,就 需要 在 路 由 器 A 中 配置 
路 由 信息 ,修改 路 由 表 中 的 信息 ,例如 使 用 命令 ip route 172. 16. 1. 0 255. 255. 255. 0 172. 
16. 2.1, 在 静态 路 由 A 的 路 由 表 中 添加 一 条 向 主机 发 送 数据 的 路 由 信息 。 

静态 路 由 具有 以 下 特点 : 


42 


ee 第 3 章 防火 墙 网 络 部 署 。 mmm 


(1) 手动 配置 。 静 态 路 由 需要 网 络 管理 员 根 据 实际 需要 逐条 手工 配置 ,路 由 器 不 会 
自动 生成 所 需 的 静态 路 由 。 静 态 路 由 中 包括 目的 节点 或 目的 网 络 的 IP 地址 ,还 可 以 包括 
下 一 跳 IP 地 址 (通常 是 下 一 个 路 由 器 与 本 地 路 由 器 连接 的 接口 IP 地址) ,以 及 在 本 路 由 
器 上 使 用 该 静态 路 由 时 的 数据 包 出 接口 等 。 

(2) 路 由 路 径 相对 固定 。 因 为 静态 路 由 是 手工 配置 的 、 静 态 的 ,所 以 每 个 配置 的 静态 
路 由 在 本 地 路 由 器 上 的 路 径 基本 上 是 不 变 的 ,除非 由 网 络 管 理 员 自 己 修改 。 男 外 , 当 网 络 
的 拓扑 结构 或 链 路 的 状态 发 生变 化 时 ,这 些 静 态 路 由 也 不 能 自动 修改 ,需要 网 络 管 理 员 手 
工 修改 路 由 表 中 相关 的 静态 路 由 信息 。 

(3) 不 可 通告 性 。 静 态 路 由 信息 在 默认 情况 下 是 私有 的 ,不 会 通告 给 其 他 路 由 器 ,也 
就 是 当 在 一 个 路 由 器 上 配置 了 某 条 静态 路 由 时 , 它 不 会 被 通告 到 网 络 中 相连 的 其 他 路 由 
器 上 。 但 网 络 管理 员 还 是 可 以 通过 重 发 布 静态 路 由 为 其 他 动态 路 由 ,使 得 网 络 中 其 他 路 
由 器 也 可 获得 此 静态 路 由 。 

(4) 单 向 性 。 静 态 路 由 具有 单 向 性 ,也 就 是 它 仅 允许 数据 包 沿 着 下 一 跳 的 方向 进行 
路 由 ,不 提供 反 向 路 由 。 所 以 如 果 你 使 源 节 点 与 目的 节点 或 网 络 进行 双向 通信 ,就 必须 同 
时 配置 回程 静态 路 由 。 如 果 配 置 了 到 达 某 节点 的 静态 路 由 ,仍然 ping 不 通 目的 地 址 ,其 
中 一 个 重要 原因 就 是 没有 配置 回程 静态 路 由 。 


3.4.2 ”默认 路 由 


为 避免 分 别 为 所 有 可 能 的 目的 网 络 设置 静态 路 由 条 目 , 可 以 用 默认 路 由 对 在 路 由 表 
中 找 不 到 相应 目的 地 址 的 数据 包 进 行 转发 。 在 一 些 拓扑 结构 中 ,设备 没有 必要 获得 所 有 
具体 的 网 络 信息 ,在 这 种 情况 下 ,默认 路 由 可 以 最 大 限度 地 发 挥 作用 。 例 如 在 末节 网 络 中 
或 只 有 单一 路 径 与 外 部 网 络 相连 的 时 候 , 默 认 路 由 就 是 一 条 静态 路 由 ,配置 默认 路 由 和 配 
置 静态 路 由 的 方法 一 样 ,都 要 使 用 route 命令 ,默认 路 由 常常 指向 外 部 网 络 或 外 部 接口 。 

默认 路 由 (default route) 是 一 种 特殊 的 静态 路 由 , 当 路 由 表 中 与 包 的 目的 地 址 之 间 没 
有 匹配 的 表 项 时 ,路 由 器 能 够 使 用 默认 路 由 。 如 果 没 有 默认 路 由 ,那么 目的 地 址 在 路 由 表 
中 没有 匹配 表 项 的 包 将 被 丢弃 。 当 设置 了 默认 路 由 后 ,如 果 IP 数据 包 中 的 目的 地 址 在 路 
由 表 中 找 不 到 路 由 时 ,路 由 器 会 选择 默认 路 由 。 

默认 路 由 为 0.0.0.0, 匹 配 卫 地 址 时 ,0 表示 通配符 ,任何 值 都 是 可 以 的 ,所 以 0.0.0.0 
和 任何 目的 地 址 匹配 都 会 成 功 , 实 现 默认 路 由 要 求 的 效果 。 

默认 路 由 的 配置 和 静态 路 由 是 一 样 的 ,不 过 要 将 目的 IP 地 址 和 子 网 掩 码 改 成 0.0.0.0 
和 0.0.0.0。 

如 图 3-21 所 示 ,网络 2 只 有 一 个 到 公 网 的 出 口 , 就 是 路 由 器 B。 于 是 可 以 通过 配置 
默认 路 由 使 得 从 网 络 2 内 可 以 访问 网 络 1 内 的 所 有 IP 地 址 ,而 不 必 逐 个 配置 静态 路 由 。 
当主 机 172. 16. 1.0 发 送 数据 包 的 目的 地 址 不 在 路 由 表 里 时 ,就 会 使 用 默认 路 由 B。 默 认 
路 由 B 把 目的 IP 地址 和 子 网 掩 码 改 成 0. 0. 0.0 和 0. 0. 0. 0 ,这 样 就 可 以 通过 默认 路 由 连 
接 到 网 络 1 中 的 目的 地 址 。 

当 数 据 包 到 达 了 一 个 知道 如 何 到 达 目 的 地 址 的 路 由 器 时 ,这 个 路 由 器 就 会 根据 最 长 
匹配 原则 来 选择 有 效 的 路 由 。 子 网 掩 码 匹配 目的 IP 地 址 而 且 位 数 最 多 的 网 络 会 被 选择 。 
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3-21 默认 路 由 转发 过 程 


默认 路 由 在 某 些 时 候 非常 有 效 ,使 用 默认 路 由 可 以 大 大 简化 路 由 器 的 配置 ,减轻 路 由 
器 对 路 由 表 的 维护 工作 量 , 从 而 降低 内 存 和 CPU 的 使 用 率 ,提高 网 络 性 能 。 


3.4.3 动态 路 由 


动态 路 由 指 路 由 器 能 够 自动 地 建立 路 由 表 ,并且 能 够 根据 实际 情况 的 变化 适时 地 进 
行 调 整 。 如 果 路 由 更 新 信息 表明 发 生 了 网 络 拓扑 变化 ,路 由 选择 软件 就 会 重新 计算 路 由 ， 
发 出 路 由 的 更 新 信息 。 这 些 信 息 通过 各 个 网 络 , 引 起 各 个 路 由 器 启动 其 路 由 算法 ,并 更 新 
各 自 的 路 由 表 以 动态 地 反映 网 络 拓扑 变化 。 动 态 路 由 适用 于 网 络 规模 大 、 网 络 拓扑 复杂 
的 情况 。 动 态 路 由 协议 在 一 定 程 度 上 会 占用 网 络 带宽 和 CPU 资源 。 

常见 的 动态 路 由 协议 有 RIP、RIPng、OSPF、BGP 等 。 每 种 路 由 协议 的 工作 方式 、 选 
路 原则 等 都 有 所 不 同 。 


1. RIP 

路 由 信息 协议 (Routing Information Protocol,RIP) 作 为 一 种 较为 简单 的 动态 路 由 协 
议 有 着 广泛 的 应 用 。RIP 是 一 个 应 用 于 网 关 和 主机 之 间 交 换 路 由 器 信息 的 距离 矢量 
协议 。 

RIP 最 初 是 为 Xerox 网 络 系统 的 通用 协议 而 设计 的 ,是 Internet 中 常用 的 路 由 协议 。 
RIP 采用 距离 向 量 算法 , 即 路 由 器 根据 距离 向 量 选择 路 由 ,所 以 也 称 为 距离 向 量 协议 。 路 
由 器 收集 所 有 可 到 达 目 的 地 的 不 同 路 径 ,并 且 保 存 到 达 每 个 目的 地 的 最 少 跳 数 的 路 由 信 
息 , 除 到 达 目 的 地 的 最 佳 路 由 外 ,任何 其 他 信息 均 予 以 丢弃 。 同 时 路 由 器 也 把 所 收集 的 路 
由 信息 通知 相 邻 的 路 由 器 ,这样 ,正确 的 路 由 信息 就 逐渐 扩散 到 全 网 。RIP 简单 .可靠 , 便 
于 配置 ,但 是 RIP 只 适用 于 小 型 的 同 构 网 络 。 

RIP 使 用 UDP 报 文 进行 路 由 信息 的 交换 ,其 包头 的 格式 如 图 3-22 所 示 。RIP 使 用 
跳 数 来 衡量 到 达 目 的 主机 的 距离 ,RIP 认为 路 由 器 到 与 它 直接 相连 的 网 络 的 跳 数 为 0, 通 
过 一 个 路 由 器 可 达 的 网 络 的 跳 数 为 1。 为 限制 收敛 时 间 ,RIP 规定 路 由 权 取 值 为 1 一 15， 
大 于 或 等 于 16 的 跳 数 被 定义 为 无 穷 大 , 即 目的 网 络 或 主机 不 可 达 。 
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Ethernet 帧 头 IP 头 部 UDP 头 部 | RIP 头 部 | ”RIP 数据 FCS 
图 3-22 RIP 包头 
2. RIPng 


考虑 到 RIP 与 IPv6 的 兼容 性 问题 ,IETF 对 现 有 技术 进行 改造 ,制定 了 IPv6 下 的 
RIP 标准 , 即 RIPng(RIP next generation) 。RIPng 是 基于 UDP 的 协议 ,并 且 使 用 端口 
521 发 送 和 接收 数据 报 。RIPng 报 文 大 致 可 分 为 两 类 : 选 路 信息 报 文 和 用 于 请 求 信息 的 
报 文 。 运 行 RIPng 的 路 由 器 维持 一 个 到 所 有 可 能 目的 网 络 的 路 由 表 , 路 由 器 周期 性 地 
(RFC 推荐 为 30s) 向 邻居 节点 发 送 该 路 由 器 的 路 由 表 , 接 收 方 通过 接收 邻居 路 由 器 的 周 
期 性 通告 来 更 新 自己 的 路 由 表 。RIPng 的 路 由 器 工作 过 程 如 图 3-23 所 示 。 


一 一 路 由 表 [二 | 路 由 表 || 路 由 表 上 | 路 由 表 一 一 


图 3-23 ”RIPng 的 路 由 器 工作 过 程 


在 国际 性 网 络 ( 如 因特网 ) 中 ,拥有 很 多 应 用 于 整个 网 络 的 路 由 选择 协议 。 形 成 网 络 
的 每 一 个 自治 系统 (AS) 都 有 属于 自己 的 路 由 选择 技术 ,不 同 的 自治 系统 采用 的 路 由 选择 
技术 也 不 同 。 内 部 网 关 协 议 (Interior Gateway Protocol,IGP) 是 一 种 自治 系统 内 部 的 路 
由 选择 协议 。 外 部 网 关 协 议 (Exterior Gateway Protocol,EGP) 是 一 种 用 于 在 自治 系统 之 
间 传 输 路 由 选择 信息 的 协议 。RIPng 在 中 等 规模 的 AS 中 被 用 作 IGP 协议 。 对 于 较 复 杂 
的 网 络 环境 ,RIPng 不 适用 。 


3:.OSPF 

20 世纪 80 年 代 中 期 ,RIP 已 不 能 适应 大 规模 异 构 网 络 的 互联 ,OSPF(Open Shortest 
Path First, 开 放 式 最 短路 径 优先 ) 随 之 产生 。 它 是 因特网 工程 任务 组 织 (IETF) 的 内 部 网 
关 协 议 工 作 组 为 IP 网 络 而 开发 的 一 种 路 由 协议 。 

使 用 OSPF 路 由 协议 的 路 由 器 有 责任 和 邻居 路 由 器 会 话 ,并 获悉 它们 的 名 字 。 每 个 


45 


防火墙 技 术 及 应 用 mw 


路 由 器 构建 一 个 称 为 链 路 状态 广播 (Link-State Advertisement, LSA) 的 包 , 该 包 列 出 了 
邻居 路 由 器 的 名 字 和 到 达 这 些 邻 居 路 由 器 的 开销 。LSA 被 传送 到 所 有 路 由 器 ,每 个 路 由 
器 存储 了 来 自 其 他 路 由 器 的 最 新 的 LSA。 每 个 路 由 器 有 了 完整 的 拓扑 图 后 ,计算 出 到 每 
个 目的 地 的 路 由 。 

OSPF 是 一 种 基于 链 路 状态 的 路 由 协议 ,需要 每 个 路 由 器 向 其 同一 管理 域 的 所 有 其 
他 路 由 器 发 送 链 路 状态 广播 信息 。 在 OSPF 的 链 路 状态 广播 中 包括 所 有 接口 信息 、 所 有 
的 量度 (metric) 和 其 他 一 些 变 量 。 利 用 OSPF 的 路 由 器 首先 必须 收集 有 关 的 链 路 状态 信 
息 , 并 根据 一 定 的 算法 计算 出 到 每 个 节点 的 最 短路 径 。 而 基于 距离 向 量 的 路 由 协议 仅 向 
其 邻居 路 由 器 发 送 路 由 更 新 信息 。OSPF 基于 路 由 器 每 一 个 接口 指定 的 开销 来 决定 最 短 
路 径 。 路 由 的 开销 是 指 沿 着 到 达 目 的 网 络 的 路 由 上 所 有 出 接口 的 开销 之 和 。OSPF 的 路 
由 器 工作 过 程 如 图 3-24 所 示 , 流 入 路 由 器 A 的 带宽 为 100Mb/s, 所 以 此 部 分 的 开销 为 
cost 二 10*/(100X10°) 二 1; 从 路 由 器 A 到 路 由 器 B 的 带宽 也 为 100Mb/s, 所 以 此 部 分 的 
开销 也 为 cost 二 105/(100X10) 二 1; 从 路 由 器 B 到 路 由 器 C 的 带宽 为 128kb/s, 所 以 此 
部 分 的 开销 为 cost 二 10:/(128X10) 二 781。 因 此 ,这 段 路 径 的 开销 为 1 十 1 十 781 二 783。 


SC9 100Mb/s 128kb/s 


cost=1 A cost=1 B cost=781 C 


3-24 ”OSPF 的 路 由 器 工作 过 程 


与 RIP 不 同 ,OSPF 将 一 个 自治 域 再 划分 为 区 ,相应 地 有 两 种 类 型 的 路 由 选择 方式 : 
当 源 和 目的 地 在 同一 区 时 ,采用 区 内 路 由 选择 ; 当 源 和 目的 地 在 不 同 区 时 , 则 采用 区 间 路 
由 选择 。 这 就 大 大 减少 了 网 络 开销 ,并 提高 了 网 络 的 稳定 性 。 当 一 个 区 内 的 路 由 器 出 故 
障 时 ,并 不 影响 自治 域内 其 他 区 间 路 由 器 的 正常 工作 ,这 也 给 网 络 的 管理 .维护 带 来 了 
方便 。 


4. BGP 

BGP(Border Gateway Protocol, 边 界 网 关 协 议 ) 是 为 TCP/IP 互联 网 设计 的 外 部 网 
关 协 议 , 用 于 多 个 自治 域 之 间 。 它 既 不 是 基于 纯粹 的 链 路 状态 算法 ,也 不 是 基于 纯粹 的 距 
离 向 量 算法 。 它 的 主要 功能 是 与 其 他 自治 域 的 BGP 交换 网 络 可 达 信 息 。 各 个 自治 域 可 
以 运行 不 同 的 内 部 网 关 协 议 。BGP 更 新 信息 包括 网 络 号 和 自治 域 路 径 的 成 对 信息 ,自治 
域 路 径 包括 到 达 某 个 特定 网 络 需 经 过 的 自治 域 序列 。 这 些 更 新 信息 通过 TCP 传送 出 去 ， 
以 保证 传输 的 可 靠 性 。 


3.4.4 策略 路 由 


策略 路 由 (policy route) 是 指 在 决定 一 个 IP 包 的 下 一 跳 转发 地 址 或 下 一 跳 默 认 IP 地 
址 时 ,不 是 简单 地 根据 目的 IP 地 址 决定 ,而 是 综合 考虑 多 种 因素 。 例 如 可 以 根据 DSCP 
字段 . 源 和 目的 端口 号 、 源 IP 地 址 等 来 为 数据 包 选 择 路 径 。 策 略 路 由 可 以 在 一 定 程度 上 
实现 流量 工程 ,使 不 同 服务 质量 的 流 或 者 不 同性 质 的 数据 (语音 FTP) 走 不 同 的 路 径 。 
策略 路 由 由 以 下 两 部 分 组 成 : 
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(1) 匹配 条 件 。 用 于 区 分 将 要 应 用 策略 路 由 的 流量 。 匹 配 条 件 包括 报 文 源 IP 地 址 、 
目的 IP 地 址 ,协议 类 型 .应 用 类 型 等 ,不 同 的 防火 墙 可 以 设置 的 匹配 条 件 略 有 不 同 。 在 一 
条 策略 路 由 规则 中 可 以 包含 多 个 匹配 条 件 , 各 匹配 条 件 之 间 是 “与 ”的 关系 , 报 文 必须 同时 
满足 所 有 匹配 条 件 , 才 可 以 执行 后 续 定 义 的 动作 。 

(2) 动作 。 对 符合 匹配 条 件 的 流量 采取 的 动作 ,包括 指定 出 接口 和 下 一 跳 。 

当 有 多 条 策略 路 由 规则 时 ,防火 墙 会 按照 匹配 顺序 , 先 寻 找 第 一 条 规则 ,如 果 满 足 第 
一 条 规则 的 匹配 条 件 , 则 按照 其 指定 动作 处 理 报 文 ;否则 会 寻找 下 一 条 策略 路 由 规则 。 如 
果 所 有 的 策略 路 由 规则 的 匹配 条 件 都 无 法 满足 , 报 文 按照 路 由 表 进 行 转发 。 策 略 路 由 的 
匹配 是 在 报 文 查找 路 由 表 之 前 完成 的 ,也 就 是 说 策略 路 由 比 路 由 表 中 的 路 由 的 优先 级 高 。 
策略 路 由 工作 流程 如 图 3-25 所 示 。 


动作 1 
动作 2 
:不 符合 匹配 条 件 
eS 和 守 合 匹 
区 所 条 作 六 > 符合 匹配 条 件 动作 m 


不 符合 匹配 条 件 


重 定向 至 下 一 跳 


按照 路 由 表 转发 或 出 接口 


3-25 ”策略 路 由 工作 流程 


策略 路 由 根据 一 定 的 策略 进行 报 文 转发 ,因此 它 是 一 种 比 目 的 路 由 更 灵活 的 路 由 机 
制 。 在 路 由 器 转发 一 个 数据 报 文 时 ,首先 根据 配置 的 规则 对 报 文 进行 过 滤 , 匹 配 成 功 则 按 
照 一 定 的 转发 策略 进行 报 文 转发 。 这 种 规则 可 以 基于 标准 和 扩展 访问 控制 列表 ,也 可 以 
基于 报 文 的 长 度 。 而 转发 策略 则 是 控制 报 文 按照 指定 的 策略 路 由 表 进 行 转发 ,也 可 以 修 
改 报 文 的 IP 优先 字段 。 因 此 ,策略 路 由 是 对 传统 IP 路 由 机 制 的 有 效 增强 。 

策略 路 由 能 满足 基于 源 IP 地 址 、 目 的 IP 址 ,协议 字段 甚至 TCP 和 UDP 的 源 、 目 的 
端口 等 多 种 组 合 进行 选 路 。 使 用 策略 路 由 的 管理 人 员 可 以 根据 它 提 供 的 机 制 指定 一 个 报 
文采 取 的 具体 路 径 。 策 略 路 由 工作 原理 如 图 3-26 所 示 。 

策略 路 由 按 报 文 类 型 可 以 分 为 两 种 : 单 播 策略 路 由 , 即 只 针对 单 播报 文 进行 控制 ;多 
播 策 略 路 由 , 即 只 对 多 播报 文 进行 控制 。 策 略 路 由 按 报 文 分 类 的 工作 过 程 如 图 3-27 所 示 。 

策略 路 由 既 可 以 应 用 于 转发 的 报 文 ,此 种 应 用 称 为 接口 策略 路 由 ;又 可 以 应 用 于 路 由 
器 本 地 产生 的 报 文 , 此 种 路 由 称 为 本 地 策略 路 由 。 接 口 策略 路 由 只 对 转发 的 报 文 起 作用 ， 
对 本 地 产生 的 报 文 ( 比 如 本 地 的 ping 报 文 ) 不 起 作用 ;而 本 地 策略 路 由 只 对 本 地 产生 的 报 
文 起 作用 ,对 转发 的 报 文 不 起 作用 。 

策略 路 由 具有 以 下 优点 : 
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3-26 策略 路 由 工作 原理 
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3-27 策略 路 由 按 报 文 分 类 的 工作 过 程 


(1) 选 路 灵活 。 通 过 策略 路 由 使 源 于 不 同 用 户 组 的 数据 流 经 过 不 同 的 路 径 。 

(2) 服务 质量 较 高 。 可 以 在 网 络 边缘 路 由 器 上 设置 IP 数据 包 包 头 中 的 优先 级 或 
TOS 值 , 并 利用 队列 机 制 在 网 络 核心 或 主干 中 为 数据 流 划分 不 同 的 优先 级 ,为 不 同 的 数 
据 流 提供 不 同 质量 级 别 的 服务 。 

(3) 负载 均衡 。 网 络 管理 员 可 以 通过 策略 路 由 在 多 条 路 径 上 分 发 数据 流 。 
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(4) 网 络 管理 灵活 。 


3.4.5 1ISP 路 由 及 对 称 路 由 


除 以 上 基本 功能 ,360 新 一 代 智慧 防火 墙 还 提供 ISP 路 由 功能 和 对 称 路 由 功能 。 互 
联网 服务 提供 商 (Internet Service Provider,ISP) 路 由 功能 主要 为 用 户 提供 基于 不 同 运 营 
商 的 路 由 出 口 选 择 策略 。ISP 路 由 的 应 用 环境 为 用 户 使 用 多 出 口上 网 ,并 且 多 个 出 口 对 
应 多 个 运营 商 。 跨 运营 商 访问 服务 的 速度 往往 会 慢 一 些 , 因 此 ,如 果 目 的 地 址 是 中 国电 信 
的 地 址 ,就 将 该 目的 地 址 添加 一 条 对 应 的 静态 路 由 指向 中 国电 信 出 口 。 但 是 运营 商 的 地 
址 范围 通常 非常 大 ,如 果 手 工 添加 静态 路 由 ,对 用 户 来 说 是 一 件 非常 麻烦 且 耗 时 的 工作 。 

ISP 路 由 智能 选 路 功能 提供 了 快速 添加 运营 商 路 由 的 方法 ,同时 支持 在 策略 路 由 中 
引用 ISP 路 由 。 用 户 可 以 直接 选用 防火 墙 预 设 
置 的 运营 商 地 址 信息 ,或 者 将 运营 商 的 地 址 范 
围 写 成 文本 文档 ,导入 到 防火 墙 系统 中 ,为 每 一 
个 运营 商 添 加 一 条 对 应 出 口 的 ISP 路 由 即 可 。 


ISP 还 可 以 为 用 户 提供 各 类 信息 服务 ,如 电子 邮 GO 

2 ~ A » Nes ISP 
件 服务 、 信 息 发 布 代理 服务 等 。 用 户 可 以 根据 
ISP 所 提供 的 网 络 带宽 .和 人 网 方式 .服务 项 目 、 


收费 标准 以 及 管理 措施 等 选择 适合 自己 的 | 


ISP。ISP 路 由 智能 选 路 如 图 3-28 所 示 。 ©®@ 广 
防火 墙 系统 提供 对 称 路 由 功能 。 用 户 可 4 
以 通过 启用 接口 的 对 称 路 由 功能 ,实现 用 户 从 Web Email VoIP 
哪里 进来 访问 ,返回 的 数据 从 哪里 再 出 去 。 例 图 3-28 ISP 路 由 智能 选 路 示意 图 
如 ,用户 内 网 对 外 提供 一 个 HTTP 服务 .同时 
用 户 申请 了 中 国联 通 和 中 国电 信 两 个 接口 。 当 中 国联 通 的 用 户 从 中 国联 通 接口 进来 访问 
HTTP 服务 时 ,对称 路 由 功能 可 以 让 服务 器 返回 给 用 户 的 应 答 数据 也 从 中 国联 通 接口 出 去 。 
当中 国电 信 的 用 户 从 中 国电 信 接 口 进来 访问 HTTP 服务 时 ,对称 路 由 功能 可 以 让 服务 器 返 
回 给 用 户 的 应 答 数据 也 从 中 国电 信 接 口 出 去 。 这 样 可 以 保证 数据 来 回路 径 的 一 致 性 。 
基于 上 述 基 本 功能 ,360 新 一 代 智 慧 防 火 墙 支持 在 多 出 口 环境 中 根据 用 户 实际 需求 
匹配 多 种 方式 的 负载 均衡 ,包括 备份 、 轮 询 、 源 地 址 哈 希 、 源 地 址 目的 地 址 哈 希 、 目 的 地 址 
哈 希 、 源 地 址 轮 询 、 最 优 链 路 带宽 负载 均衡 .最 优 链 路 带宽 备份 、 随 机 负载 均衡 流量 均衡 、 
时 延 负 载 均 衡 、 跳 数 负载 均衡 12 种 ,可 以 实现 基于 权重 的 路 由 负载 .基于 延迟 的 路 由 负 
载 . 基 于 会 话 的 路 由 负载 .基于 流量 的 路 由 负载 ,满足 用 户 的 各 种 应 用 场景 。 


3.5 二 层 透明 网 桥 模式 


在 透明 网 桥 模式 下 ,防火 墙 会 以 “额外 添加 设备 ”的 形式 存在 ,而 不 会 作为 路 由 的 跳 
数 。 因 此 也 就 不 需要 对 IP 网 络 ( 第 3 层 地址 方案 ) 重 新 进行 设计 。 防 火 墙 设备 的 内 部 接 
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口 和 外 部 接口 连接 在 整个 网 络 (IP 子 网 ) 中 ,如 图 3-29 所 示 , 防 火 墙 两 个 接口 属于 同一 
IP。 如 果 防 火 墙 的 内 部 接口 和 外 部 接口 连接 在 同一 台 交 换 机 上 ,就 要 把 它们 放 在 不 同 的 
二 层 网 络 中 (可 以 给 这 两 个 接口 分 配 不 同 的 VLAN 号 ,或 者 用 不 同 的 交换 机 连接 它们 ) 。 


Br:fel 


fa 0/l 172.18.2.3/24 fa0/0 

路 由 器 172.18.2.1/24 172.18.2.2/24 路 由 器 

包 00 WS Eg a Ra aol 

172.18.1.1/24 fel fe2 10.50.10.2/24 
本 .50.10.2 
防火 墙 
Cj 客户 机 PC 

172.18.1.2/24 


“Be 网 关 : 172.18.1.1 


3-29 ”防火 墙 透明 网 桥 模 式 


如 果 防火 墙 采用 透明 模式 工作 ,可 以 避免 改变 拓扑 结构 造成 的 麻烦 ,此 时 防火 墙 对 于 
子 网 用 户 和 路 由 器 来 说 是 完全 透明 的 。 也 就 是 说 ,用 户 完 全 感觉 不 到 防火 墙 的 存在 。 

这 样 做 可 以 从 本 质 上 把 网 络 分 成 两 个 三 层 网 段 ,安全 设备 位 于 这 两 个 网 段 之 间 充 当 
网 桥 ,而 网 络 的 第 3 层 结构 则 没有 发 生变 化 。 即 使 防火 墙 处 于 网 桥 模 式 中 ,仍然 需要 对 其 
配置 ACL 来 对 穿越 防火 墙 的 三 层 流量 实施 控制 和 放行 。 但 ARP 流量 除外 , 它 不 需要 使 
用 ACL 来 匹配 ,因为 它 可 以 用 防火 墙 地 址 解析 协议 (Address Resolution Protocol, ARP) 
的 监控 功能 进行 控制 。 

透明 模式 不 能 为 穿越 设备 的 流量 提供 IP 路 由 功能 ,因为 它 处 于 网 桥 模式 中 。 静 态 路 
由 是 用 来 为 这 台 设 备 始 发 流量 服务 的 ,不 适用 于 穿越 这 台 设 备 的 流量 。 不 过 ,只 要 防火 墙 
的 ACL 有 相应 的 匹配 条 目 . 那 么 IP 路 由 协议 数据 包 是 可 以 通过 这 个 防火 墙 的 。OSPF、 
RIP 等 都 可 以 穿越 透明 模式 的 防火 墙 , 建 立 临 时 关系 。 

防火 墙 的 受信 域 接口 与 公司 内 部 网 络 相连 , 非 受信 域 接口 与 外 部 网 络 相 连 ,需要 注意 
的 是 ,内 部 网 络 和 外 部 网 络 必须 处 于 同一 个 子 网 。 

防火 墙 工作 在 透明 模式 (也 可 以 称 为 网 桥 模 式 ) 下 ,此 时 所 有 接口 都 不 能 配置 IP 地 
址 ,接口 所 在 的 安全 域 是 二 层 区 域 ,和 二 层 区 域 相 关 接 口 连接 的 外 部 用 户 同属 一 个 子 网 。 
当 报 文 在 二 层 区 域 的 接口 间 转 发 时 ,需要 根据 报 文 的 MAC 地 址 来 寻找 出 接口 ,此 时 防火 
墙 表现 为 一 个 透明 网 桥 。 但 是 防火 墙 与 网 桥 存 在 不 同 , 在 防火 墙 中 ,IP 报 文 还 需要 送 到 
上 层 进行 相关 过 滤 等 处 理 , 通 过 检查 会 话 表 或 ACL 规则 以 确定 是 否 允 许 该 报 文通 过 。 
此 外 ,还 要 完成 其 他 防 攻击 检查 。 

透明 模式 下 的 防火 墙 只 有 一 个 IP 地 址 必须 配置 , 那 就 是 管理 IP 地 址 。 另 外 ,管理 IP 
地 址 也 会 作为 由 这 台 安 全 设备 始 发 的 数据 包 的 源 地 址 ,比如 系统 消息 ,发送 给 AAA 或 
SYSLOG 服务 器 的 消息 等 。 管理 IP 地 址 必须 处 于 这 台 设 备 直 连 的 子 网 中 。 

透明 模式 的 防火 墙 支持 ACL 规则 检查 、ASPF 状态 过 滤 、 防 攻击 检查 流量 监控 等 功 
能 。 工 作 在 透明 模式 下 的 防火 墙 在 数据 链 路 层 连接 局 域 网 ,网 络 终端 用 户 无 须 为 连接 网 
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络 而 对 设备 进行 特别 配置 ,就 像 局 域 网 交换 机 一 样 进 行 网 络 连接 。 

下 一 代 防 火 墙 以 透明 模式 部 署 在 网 络 中 时 .如同 连 接 在 出 口 网 关 和 内 网 交换 机 之 间 的 
“智能 网 线 ”, 实 现 对 用 户 或 者 服务 器 的 流量 管理 ,行为 控制 .安全 防护 等 功能 。 透 明 模式 适 
用 于 不 希望 更 改 网 络 结构 、 路 由 配置 .IP 配置 的 环境 。 此 种 模式 的 部 署 方 式 如 图 3-30 所 示 。 


管理 口 
192.168.1.1/24 内 外 网 口 为 二 层 模 


式 ， 无 须 配 置 IP 地 址 


图 3-30 下 一 代 防 火 墙 透明 网 桥 模式 部 署 


Se 三 层 路 由 模式 


路 由 模式 对 应 5 个 重点 场景 ,分 别 是 单 出 口 、 服 务 器 负载 均衡 ,多 出 口 、 源 地 址 路 由 
(策略 路 由 ) 以 及 链 路 负载 均衡 。 

当 防 火 墙 位 于 内 部 网 络 和 外 部 网 络 之 间 时 ,需要 将 防火 墙 与 内 部 网 络 、 外 部 网 络 以 及 
DMZ 3 个 区 域 相 连 的 接口 分 别 配置 成 不 同 网 段 的 IP 地 址 ,重新 规划 原 有 的 网 络 拓扑 。 

在 路 由 模式 下 ,防火墙 在 网 络 中 被 算 作 路 由 器 的 一 跳 , 其 本 质 上 是 执行 路 由 器 的 操 
作 , 而 且 具 有 很 多 高 级 安全 特性 。 在 此 模式 下 ,设备 可 以 运行 NAT 和 动态 路 由 协议 ,如 
RIP 和 OSPF。 路 由 模式 支持 使 用 多 个 接口 ,但 每 个 接口 必须 处 于 不 同 的 子 网 中 。 

如 图 3-31 所 示 ,防火 墙 的 受信 域 接口 与 内 部 网 络 相连 , 非 受 信 域 接口 与 外 部 网 络 相 
连 , 并 且 受 信 域 接口 和 非 受信 域 接口 分 别处 于 两 个 不 同 的 子 网 中 。 

采用 路 由 模式 时 ,可 以 完成 ACL 包 过 滤 、ASPF 动态 过 滤 .NAT 转换 等 功能 。 然 而 ， 
路 由 模式 需要 对 网 络 拓扑 进行 修改 (内 部 网 络 用 户 需要 更 改 网 关 、 路 由 器 需要 更 改 路 由 配 
置 等 ) ,这 极为 烦琐 ,因此 在 使 用 该 模式 时 需 权 衡 利 整 。 

防火 墙 工 作 在 路 由 模式 下 ,此 时 所 有 接口 都 配置 IP 地 址 ,各 接口 所 在 的 安全 区 域 是 
三 层 区 域 , 不 同 三 层 区 域 相关 的 接口 连接 的 外 部 用 户 属于 不 同 的 子 网 。 数 据 会 在 三 层 域 

51 


FE 防火墙 技术 及 应 用 Eeesssssssssg 


fa0/0 


交换 机 172.18.2.2/24 路 由 器 
fel fe2 B= 
172.18.1.124 。 172.18.2.1/24 172.18.3.2/24 
客户 机 PC 
172.18.1.2/24 
网 关 : 172.18.1.1 ey 


3-31 ”防火墙 路 由 模式 


之 间 进 行 转 发 ,并 且 被 转发 的 数据 会 被 进行 安全 检查 , 当 报 文 在 三 层 区 域 的 接口 间 进 行 转 
发 时 ,根据 报 文 的 IP 地 址 来 查找 路 由 表 , 此 时 防火 墙 表 现 为 一 个 路 由 器 。 

使 用 路 由 模式 的 两 个 主要 优势 在 于 : 它 支持 多 个 接口 ,而 且 可 以 在 这 些 接口 之 间 路 
由 信息 。 多 个 接口 提供 了 在 三 层 连 接 多 个 网 络 并 应 用 安全 策略 的 能 力 ,这些 安 全 策略 可 
以 允许 或 拒绝 特殊 的 数据 流 。 

路 由 模式 的 缺点 在 于 可 选 的 路 由 协议 比较 有 限 并 且 配 置 比较 复杂 。 

当下 一 代 防 火 墙 以 路 由 模式 部 署 在 网 络 中 ,所 有 流量 都 经 过 下 一 代 防 火 墙 处 理 , 实 现 
对 用 户 或 者 服务 器 的 流量 管理 ,行为 控制 .安全 防护 等 功能 。 下 一 代 防 火 墙 的 安全 功能 可 
保障 网 络 安全 、 支 持 多 线路 技术 .扩展 出 口 带 宽 ,NAT 功能 可 代理 内 网 用 户 上 网 、 服 务 器 
发 布 、 实 现 路 由 功能 等 。 其 部 署 方式 如 图 3-32 所 示 。 


NGFW 受信 域 
192.168.0.1/24 


网 络 接 入 区 
图 3-32 下 一 代 防火 墙 路 由 模式 部 署 
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3.7 地 址 转换 


随 着 互联 网 技术 的 高 速 发 展 ,IP 地 址 资源 开始 短缺 。 目 前 正在 使 用 的 IP 地 址 为 
IPv4 版 本 。IPv4 的 地 址 是 一 个 32 位 的 0/1 序列 ,如 11000000 00000000 00000000 
00000011。 为 了 方便 记录 和 阅读 ,通常 将 32 位 0/1 分 成 4 段 8 位 序列 ,并 用 十 进 制 来 表 
示 每 一 段 , 段 与 段 之 间 以 “. ”分隔 。 比 如 上 面 的 地 址 可 以 表示 为 192. 0. 0. 3。 

由 于 IPv4 协议 的 地 址 为 32 位 ,所 以 它 可 以 提供 2 个 ,也 就 是 大 约 40 亿 个 地 址 。 
IPv4 地 址 已 经 远 远 不 够 。 尽 管 一 些 技 术 措施 (比如 NAT 技术 ,在 第 4 章 会 具体 讲解 此 种 
技术 ) 减 缓 了 这 种 情况 的 紧急 程度 ,但 IPv4 地 址 还 是 非常 短缺 。 将 来 需要 更 多 的 IP 地 
址 ,以 满足 爆炸 式 增长 的 互联 网 设备 和 物 联网 终端 设备 对 IP 地 址 的 需求 。 

IPv6 通过 更 长 的 序列 提供 了 更 多 的 IP 地 址 暂时 解决 了 这 个 问题 。IPv6 地 址 是 128 
位 0/1 序 列 , 它 也 按照 8 位 分 割 ,以 十 六 进 制 来 记录 每 一 段 , 段 与 段 之 间 以 “: ”分隔 。 

人 们 在 寻求 IPv4 替代 方案 ,比如 使 用 IPv6 技术 的 同时 ,也 在 积极 研究 各 种 技术 来 减 
少 对 IP 地 址 的 消耗 ,其 中 最 常用 的 技术 就 是 网 络 地 址 转换 技术 (Network Address 
Translation ,NAT) 。 

网 络 地 址 转换 技术 是 一 种 将 私有 (保留 ) 地 址 转化 为 公有 (合法 )IP 地 址 的 转换 技术 。 
地 址 转换 主要 用 在 内 部 网 络 的 IP 地 址 是 无 效 地 址 或 网 络 管理 员 希 望 隐藏 内 部 网 络 IP 地 
址 的 情况 下 。NAT 技术 不 仅 能 解决 IP 地 址 不 足 的 问题 ,还 能 隐藏 内 部 网 络 的 IP 地 址 和 
拓扑 结构 ,有 效 地 避免 来 自 网 络 外 部 的 攻击 ,加 强 内 部 网 络 的 安全 性 。 

私有 IP 地 址 是 指 内 部 网 络 或 主机 的 IP 地 址 ,公有 IP 地 址 是 指 在 互联 网 上 全 球 唯一 
的 IP 地址 。RFC1918 为 私有 网 络 预 留 了 以 下 3 个 IP 地 址 块 : 

。A 类 : 10.0.0.0~10.255.255.255 

。B 类 : 172. 16. 0.0 一 172. 31. 255. 255 

。C 类 : 192. 168. 0.0 一 192. 168. 255. 255 

这 3 个 范围 内 的 地 址 不 会 在 互联 网 上 被 分 配 , 因 此 可 以 不 必 向 ISP 或 注册 中 心 申请 
而 在 公司 或 企业 内 部 自由 使 用 。 

通常 ,一 个 局 域 网 由 于 申请 不 到 足够 多 的 公有 IP 地 址 ,或 者 只 是 为 了 编 址 方便 ,在 局 
域 网 内 部 采用 私有 IP 地 址 为 设备 编 址 , 当 设备 访问 外 网 时 ,再 通过 NAT 将 私有 地 址 翻 
译 为 公有 地 址 ,如 图 3-33 所 示 , 私 有 IP 地址 192. 168. 1. 2 通过 NAT 网 关 后 将 IP 地 址 转 
换 为 公有 IP 地 址 203. 51. 23. 55 ,从 而 可 以 连接 到 Internet。 当 通过 Internet 向 私有 地 址 
发 送 数据 时 , 则 需要 在 NAT 网 关 处 将 IP 地 址 转换 为 私有 IP 地 址 ,从 而 顺利 地 将 数据 发 
送 到 目的 地 。 

NAT 技术 并 非 为 防火 墙 而 设计 ,其 最 初 设计 的 目的 是 为 了 实现 私有 网 络 访问 公共 
网 络 的 功能 ,后 扩展 到 实现 任意 两 个 网 络 间 进 行 访问 时 的 地 址 转换 应 用 。NAT 技术 的 
显著 优点 是 节约 了 合法 公 网 IP 地 址 , 除 此 之 外 ,NAT 还 具有 内 部 主机 地 址 隐藏 、 网 络 负 
载 均衡 以 及 网 络 地 址 交 秋 等 功能 。 
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< 加 


内 部 外 部 
PC 访问 服务 器 的 包 二 > ' | 经 过 路 由 器 后 的 包 
源 IP:192.168.1.2 源 IP:125.25.65.3 
目的 IP:203.51.23.55 转换 ， | 目的 IP:203.51.23.55 


经 过 路 由 器 后 的 包 CS 务 器 返回 PC 的 包 
192.168.1.2 | 源 IP:203.51.23.55 源 IP:203.51.23.55 
目的 IP:192.168.1.2 ”| [一 | 目的 IP:125.25.65.3 

转换 


图 3-33 NAT 转换 示意 图 


NAT 有 一 对 一 、 一 对 多 、 多 对 多 及 NAPT 等 多 种 机 制 ,不管 采用 何 种 机 制 ,都 是 由 源 
NAT(Source NAT,SNAT) 及 目的 NAT(Destination NAT,DNAT) 组 成 。 源 NAT 改变 
第 一 个 数据 包 的 来 源 地 址 , 它 永远 会 在 数据 包 发 送 到 网 络 之 前 完成 ,目的 NAT 刚好 与 
SNAT 相反 , 它 是 改变 第 一 个 数据 的 目的 地 址 。 

NAT 的 基本 工作 原理 是 , 当 私 有 网 主机 和 公共 网 主机 通信 的 IP 包 经 过 NAT 网 关 
时 ,将 IP 包 中 的 源 IP 或 目的 IP 在 私有 IP 和 NAT 的 公共 IP 之 间 进 行 转换 。 

如 图 3-34 所 示 ,NAT 网 关 有 两 个 网 络 端口 : 公共 网 络 端口 的 IP 地 址 是 统一 分 配 的 
公共 IP 地 址 ,为 202. 20. 65.5; 私 有 网 络 端口 的 IP 地 址 是 保留 地 址 ,为 192. 168. 1. 1。 私 
有 网 域 中 的 主机 192. 168. 1. 2 向 公共 网 络 中 的 主机 202. 20. 65. 4 发 送 了 1 个 卫 包 (Dst 一 
202. 20. 65. 4,Src 一 192. 168. 1. 2)。 


用 户 A 
192.168.1.2 


Web 服 务 器 
202.20.65.4 


pe 


192.168.1.1 


用 户 B 
192.168.1.3 


图 3-34 NAT 的 基本 工作 原理 


当 IP 包 经 过 NAT 网 关 时 ,NAT 网 会 将 IP 包 的 源 IP 转换 为 NAT 网 的 公共 IP 并 
转发 到 公共 网 络 , 此 时 IP 包 (Dst 二 202. 20. 65. 4,Src 一 202. 20. 65. 5) 中 已 经 不 含 任何 私 
有 网 络 IP 的 信息 。 由 于 IP 包 的 源 IP 已 经 被 转换 成 NAT 网 关 的 公共 IP,Web 服务 器 发 
出 的 响应 IP 包 (Dst 王 202. 20. 65. 5,Src 一 202. 20. 65. 4) 将 被 发 送 到 NAT 网 关 。 

这 时 ,NAT 网 关 会 将 卫 包 的 目的 IP 地 址 转换 成 私有 网 中 主机 的 IP 地 址 ,然后 将 IP 
包 (Des 一 192. 168. 1. 2,Src 一 202. 20. 65. 4) 转 发 到 私有 网 。 对 于 通信 双方 而 言 , 这 种 地 址 
的 转换 过 程 是 完全 透明 的 。 地 址 转换 示意 如 图 3-35 所 示 。 
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客户 机 A : 时 : Web 服务 器 


192.168.1.2 : 192.168.1.1 202.20.65.5 : 202.20.65.4 
HTTP Request : HTTP Request HTTP Request ; HTTP Request 


Dst: 202.20.65.4 1 站 Dst:202.20.65.4 Dst: 202.20.65.4 下 Dst:202.20.65.4 
Src: 192.168.1.2 Src: 192.168.1.2 Src: 202.20.65.5 1 Src: 202.20.65.5 


wg” | 


HTTP Reply : HTTP Reply HTTP Reply ; HTTP Reply 
Dst 192.16812 (i) Dst 192.168.12 | | Dst 20220655 【一 | Dst 20220.655 
Sre: 202.20.65.4 | ; | Sre:202.20.65.4 | | Sre:20220.65.4 | ;| | Sre:202.20.65.4 


3-35 地址 转换 示意 图 


如 果 内 网 主机 发 出 的 请 求 包 未 经 过 NAT ,那么 当 Web 服务 器 收 到 请 求 包 时 ,回复 的 
响应 包 中 的 目的 地 址 就 是 私 网 IP 地 址 ,在 Internet 上 无 法 正确 送 达 ,导致 连接 失败 。 

NAT 技术 根据 实现 方法 的 不 同 通常 可 以 分 为 两 种 : 静态 NAT 技术 和 动态 NAT 

在 介绍 这 几 种 NAT 技术 前 ,需要 介绍 地 址 池 的 概念 。 地 址 池 是 由 一 些 外 部 公 网 地 
址 组 合 而 成 的 ,在 内 部 网 络 的 数据 包 通 过 地 址 转换 达到 外 部 网 络 时 ,将 会 选择 地 址 池 中 的 
某 个 地 址 作为 转换 后 的 源 地 址 ,这 样 可 以 有 效 利用 用 户 的 外 部 地 址 ,提高 内 部 网 络 访问 外 
部 网 络 的 能 力 。 


3.7.1 静态 NAT 技术 


静态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公 网 IP 地 址 ,IP 地 址 对 是 一 对 一 
的 ,是 一 成 不 变 的 , 某 个 私有 IP 地 址 只 转换 为 某 个 公 网 IP 地 址 。 借 助 于 静态 转换 ,可 以 
实现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 每 个 连续 的 连接 通过 静态 
NAT 都 可 以 拥有 一 个 固定 的 转换 规则 ,由 于 映射 的 地 址 不 变 , 所 以 目的 网 络 的 用 户 可 以 
向 被 转换 主机 发 起 连接 。 

以 图 3-36 所 示 的 网 络 结构 为 例 ,静态 NAT 过 程 描述 如 下 : 

(1) 在 防火 墙 建 立 静 态 NAT 映射 表 , 在 内 网 地 址 和 公 网 地 址 间 建 立 一 对 一 映射 。 假 
设 NAT 映射 表 中 内 网 IP 地 址 10.1.1.1 与 公 网 IP 地址 202. 119. 102. 3 相对 应 。 

(2) 网 络 内 部 主机 10. 1. 1. 1 建立 一 条 到 外 部 主机 177. 20.7. 3 的 会 话 连接 。 内 部 主 
机 发 送 数 据 包 到 外 部 主机 。 

(3) 防火 墙 从 内 部 网 络 接 收 到 一 个 数据 包 时 检查 NAT 映射 表 。 若 已 为 该 地 址 配置 
静态 地 址 转换 ,防火墙 使 用 公 网 IP 地 址 202. 119. 0. 2 代替 内 网 地 址 10. 1. 1. 1, 并 转发 该 
数据 包 :; 和 否则 ,防火墙 不 对 内 网 地 址 进行 操作 ,直接 将 数据 包 丢 弃 或 转发 。 

(4) 外 部 主机 177. 20. 7. 3 收 到 来 自 202. 119. 0. 2 的 数据 包 ( 经 过 NAT 转换 ) 后 进行 
应 答 。 
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内 网 “| 外 网 
1 
要 | 
CJ S| => | 
WO 3 SS | 
No 人 ~ 1 
匠 | 人 Bl => 
-INAT NS 一 凡 
10.1.1.2 机 | 、 EN 1772073 
0 | 
el 辣 NAT 表 
10.113 | 。 [ 磊 可 局 可 iP 开 焉 办 部 至 局 [到 下 
! [DoLLI 192.168.0.2 
| [LoLL2 192.168.03 
| 10.1.1.3 192.168.0.4 


3-36 静态 NAT 原理 


(5) 当 防火 墙 收 到 来 自 外 部 网 络 的 数据 包 时 ,检查 NAT 映射 表 : 若 存 在 匹配 项 , 则 
使 用 内 部 地 址 10. 1.1. 1 替换 数据 包 的 目的 IP 地 址 ,并 将 数据 包 转 发 给 内 部 网 络 主机 ; 若 


不 存在 匹配 项 , 则 拒绝 数据 包 。 


对 于 每 个 数据 包 ,防火 墙 都 会 执行 (2) 一 (5) 步 的 操作 。 


3.7.2 动态 NAT 技术 


利用 动态 转换 技术 可 以 将 一 个 内 网 IP 地 址 动态 映射 为 公 网 IP 地 址 池 中 的 一 个 IP 
地 址 。 映 射 的 公 网 IP 地 址 是 随机 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 都 可 随机 
转换 为 任何 指定 的 公 网 IP 地 址 。 动 态 NAT 与 静态 NAT 不 同 ,不 需要 进行 一 对 一 的 映 
射 ,动态 NAT 的 映射 表 对 网 络 管理 员 和 用 户 是 透明 的 。 


内 网 


a 


外 网 


10.1.1.1 > 


动态 NAT 原理 如 图 3-37 所 示 。 


主机 C 


| x 
一 | NSs 
J ! EN 177.21.7.3 
Lj | 商 单 NAT 表 
-一 一 1 
i | [ 匡 部 局 部 下 地 下 部 全 局 下 地 下 
站 1 10.1.1.1 192.168.0.2 

10.1.1.2 192.168.0.3 

10.1.1.3 192.168.0.4 

! 


图 3-37 动态 NAT 原理 
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3.7.3 ”端口 地 址 转换 技术 


端口 地 址 转换 (Port Address Translation, PAT) 技 术 利 用 TCP/UDP 协议 的 端口 号 
进行 地 址 转换 。PAT 采用 了 “地 址 十 端口 ”的 映射 方式 ,因此 可 以 使 内 部 局 域 网 的 许多 主 
机 共享 一 个 IP 地 址 访问 Internet。 在 私有 网 络 地 址 和 外 部 网 络 地 址 之 间 建 立 多 对 一 映 
射 。 不 同 的 内 网 地 址 ,转换 时 采用 相同 的 公 网 地 址 ,并 依靠 不 同 的 端口 号 来 区 分 每 一 个 内 
网 主机 。 当 多 个 不 同 的 内 部 地 址 映射 到 同一 个 公 网 地 址 时 ,可 以 使 用 不 同 的 端口 号 进行 
区 分 ,这 种 技术 称 为 复 用 。 这 种 方法 节省 了 大 量 的 网 络 IP 地 址 ,同时 也 隐藏 了 内 部 网 络 
拓扑 结构 。 

PAT 实现 内 部 网 络 主机 的 IP 地 址 十 端口 与 内 部 全 局 地 址 池 中 的 IP 地 址 十 端口 号 
进行 的 NAT 转换 ,大 大 扩充 了 可 进行 NAT 转换 的 内 部 网 络 主机 数量 。 

如 图 3-38 所 示 ,端口 地 址 转换 过 程 描述 如 下 : 


内 网 上 外 网 


四 oe . 
et 
10.1.1.2 NAT ~ a ed 主机 B 
FTP 服 务 器 ! Nx 177.20.7.3 
1 SS 
[Lj | 简单 NAT 雪 
3 | [协议 [内 部 局 部 中 地 址 :端口 [内 部 全 局 地 址 :端口 
11 1|TCP [10.1.1.1:80 | 192.168.0.2:80 
邮件 服务 器 [ECE [10.1.1.2:80 | 192.168.0.2:21 
IIrcp [10.1.1.3:80 | 92.168.0.2:25 
1 
1 


3-38 ”端口 地 址 转换 过 程 


(1) 网 络 内 部 主机 10. 1. 1. 1 建立 到 外 部 主机 177. 20. 7. 3 的 会 话 连接 。 

(2) 防火 墙 收 到 来 自 内 部 主机 的 数据 包 时 检查 NAT 映射 表 。 车 该 地 址 有 对 应 的 地 
址 映射 转换 项 ,防火 墙 就 对 该 地 址 进行 转换 。 例 如 , 当 防 火 墙 收 到 来 自 10. 1.1.1 的 第 一 
个 数据 包 时 ,建立 10. 1. 1.1:80 与 199. 168. 0. 2:80 的 映射 ,并 记录 会 话 状态 。 若 该 地 址 
已 存在 对 应 的 映射 转换 项 ,防火 墙 使 用 该 记录 进行 地 址 转换 ,并 记录 会 话 状态 。 

(3) 防火 墙 进行 地 址 转换 后 转发 数据 包 。 

(4) 外 部 主机 收 到 访问 信息 后 进行 应 答 。 

(5) 当 防 火 墙 收 到 来 自 外 部 网 络 的 数据 包 , 检 查 NAT 映射 表 查 询 匹 配 项 。 若 存在 ， 
则 转发 数据 包 ; 若 不 存在 , 则 拒绝 数据 包 。 

对 于 每 个 数据 包 ,防火 墙 都 会 执行 (2) 一 (5) 步 的 操作 。 
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3.8 混合 模式 


防火 墙 混 合 模 式 是 指 防 火 墙 既 存 在 路 由 模式 的 接口 也 存在 透明 模式 的 接口 。 其 
中 ,路 由 模式 的 接口 具有 IP 地 址 ,数据 报 文通 过 三 层 转 发 ;透明 模式 的 接口 没有 IP 地 
址 ,数据 报 文通 过 二 层 转发 。 混 合 模式 主要 是 为 了 满足 用 户 特定 的 组 网 需求 ,如 图 3-39 
所 示 。 


Br:fel 
ful 172.18.2.3/24 0/0 
路 由 器 CN™ 18.2.1/24 172. es es 
moo fa0/l 
172.18.1.1/24 史 兴 这 3 50.10.2/24 
fe3 
2.18.3.1/ 
172.18.3.1/24 i 
172.18.3.2/24 Eo 
grtMpc 
fa0/l 
172.18.1.2/24 
[2 1 人 


3-39 ”防火 墙 混合 模式 


图 3-39 中 ,防火 墙 的 fel 和 fe2 是 一 组 桥接 口 ,其 上 下 游 路 由 器 属于 同一 子 网 ,此 
时 防火 墙 工 作 在 透明 模式 ;同时 还 可 在 该 桥 上 配置 三 层 桥 接口 ,并 设置 IP 地 址 ,在 与 
fe3 所 连接 的 外 部 区 域 实现 三 层 转发 ,其 中 fe3 是 三 层 路 由 口 ,此 时 防火 墙 工作 在 路 由 
模式 。 


3.9 旁 路 模式 


防火 墙 工作 在 旁 路 模式 时 ,该 接口 将 只 接收 数据 ,不 发 送 数 据 。 从 旁 路 模式 接口 接收 
到 的 数据 也 不 会 经 过 防火 墙 进行 转发 。 而 旁 路 模式 下 的 接口 也 不 能 再 用 于 管理 防火 墙 。 
旁 路 模式 主要 用 于 旁 路 监听 用 户 网 络 中 的 数据 时 使 用 ,因此 通常 情况 下 ,与 旁 路 模式 接口 
对 联 的 对 端 接口 为 镜像 口 , 用 户 将 网 络 中 需要 监听 的 数据 通过 镜像 口 导入 到 工作 在 旁 路 
模式 的 防火 墙 接口 中 ,防火 墙 会 对 数据 进行 安全 检查 ,如 图 3-40 所 示 。 当 防火 墙 从 旁 路 
模式 接口 中 监听 到 威胁 时 ,会 对 异常 会 话 发 送 重 置 操作 ,但 该 操作 需要 防火 墙 上 其 他 未 工 
作 在 旁 路 模式 的 物理 接口 与 用 户 的 网 络 可 达 。 

当下 一 代 防 火 墙 以 旁 路 模式 部 署 在 网 络 中 时 , 它 与 交换 机 镜像 端口 相连 ,实施 简单 ， 
完全 不 影响 原 有 的 网 络 结构 ,降低 了 网 络 单 点 故障 的 发 生 率 。 此 时 下 一 代 防 火 墙 获得 的 
是 链 路 中 数据 的 副本 ,主要 用 于 监听 、 检 测 局 域 网 中 的 数据 流 及 用 户 或 服务 器 的 网 络 行 
为 ,以 及 实现 对 用 户 或 服务 器 的 TCP 行为 的 管控 。 
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端口 镜像 


图 3-40 下 一 代 防 火 墙 旁 路 模式 部 署 


是 1 DHCP 服务 


动态 主机 配置 协议 (Dynamic Host Configuration Protocol,DHCP) 是 一 个 局 域 网 的 
网 络 协议 。 指 的 是 由 服务 器 控制 一 段 IP 地 址 ,客户 机 登录 服务 器 时 就 可 以 自动 获得 服务 
器 分 配 的 IP 地 址 和 子 网 掩 码 。 
DHCP 是 由 IETF 开发 设计 的 ,于 1993 年 10 月 成 为 标准 协议 ,其 前 身 是 引导 程序 协 
议 (Bootstrap Protocol,BOOTP)。DHCP 通常 用 于 局 域 网 环境 ,主要 作用 是 集中 管理 和 
分 配 IP 地 址 ,计算 机 终端 能 动态 地 获取 IP 地 址 、 网 关 地 址 和 DNS 服务 器 地 址 等 信息 ,并 
能 够 提升 地 址 的 使 用 率 。 
DHCP 服务 器 的 主要 作用 是 为 网 络 客户 机 分 配 动态 IP 地 址 。 这 些 被 分 配 的 IP 地 址 
都 是 DHCP 服务 器 预先 保留 的 一 个 包含 多 个 地 址 的 地 址 集 。 当 网 络 客户 机 请 求 临时 的 
IP 地 址 时 ,DHCP 服务 器 便 会 查看 地 址 数据 库 , 为 客户 机 分 配 一 个 没有 被 使 用 的 IP 
地 址 。 
DHCP 服务 器 提供 3 种 IP 分 配方 式 : 
。 自动 分 配 。 当 DHCP 客户 端 第 一 次 成 功 地 从 DHCP 服务 器 端 获 得 一 个 IP 地 址 
之 后 ,就 永远 使 用 这 个 地 址 。 

。 动态 分 配 。 当 DHCP 客户 端 第 一 次 从 DHCP 服务 器 获得 IP 地 址 后 ,并 非 永 久 地 
使 用 该 地 址 ,每 次 使 用 完 后 ,DHCP 客户 端 就 必须 释放 这 个 IP 地 址 ,以 给 其 他 客 
户 端 使 用 。 

。 手动 分 配 。 由 DHCP 服务 器 管理 员 专 门 为 客户 端 指定 IP 地 址 。 

DHCP 服务 器 工作 过 程 如 图 3-41 所 示 ,可 以 分 为 以 下 几 个 步骤 : 
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(DD 客户 端 在 网 络 中 搜索 服务 器 
四 服务 器 向 客户 冉 响 应 服务 三 
G) 客户 端 向 目标 服务 器 发 出 服务 请 求 。 


客户 喘 。 _。 (服务 器 向 客户 端 购 应 服务 服务 器 


3-41 DHCP 服务 器 工作 过 程 


(1) 寻找 DHCP 服务 器 。 

当 DHCP 客户 端 第 一 次 登录 网 络 的 时 候 , 计 算 机 发 现 本 机 上 没有 任何 IP 地 址 设 定 ， 
将 以 广播 方式 发 送 DHCP discover 发 现 信息 来 寻找 DHCP 服务 器 , 即 向 255. 255. 255. 255 
发 送 特定 的 广播 信息 。 网 络 上 每 一 台 安 装 了 TCP/IP 协议 的 主机 都 会 接收 这 个 广播 信 
息 ,但 只 有 DHCP 服务 器 才 会 做 出 响应 。 

DHCP discover 的 等 待 时 间 预 设 为 1s, 也 就 是 当 客 户 机 将 第 一 个 DHCP discover 封 
包 送 出 去 之 后 ,在 1s 之 内 没有 得 到 回应 的 话 ,就 会 进行 第 二 次 DHCP discover 广播 。 若 
一 直 没 有 得 到 回应 ,客户 机 会 将 这 一 广播 包 重 新 发 送 4 次 。 如 果 都 没有 得 到 DHCP 
Server 的 回应 ,客户 机 会 从 169. 254. 0. 0/16 这 个 自动 保留 的 私有 IP 地 址 中 选用 一 个 IP 
地 址 。 同 时 ,客户 机 每 隔 5 分 钟 重新 广播 一 次 ,如 果 收 到 某 个 服务 器 的 响应 , 则 继续 IP 租 
用 过 程 。 

(2) 提供 IP 地 址 租用 。 

当 DHCP 服务 器 监听 到 客户 机 发 出 的 DHCP discover 广播 后 , 它 会 从 那些 还 没有 租 
出 去 的 地 址 中 选择 最 前 面 的 空置 IP, 连 同 其 他 TCP/IP 设 定 , 响 应 给 客户 机 一 个 DHCP 
OFFER 数据 包 。 此 时 还 是 使 用 广播 进行 通信 , 源 IP 地 址 为 DHCP 服务 器 的 IP 地 址 , 目 
的 地 址 为 255. 255. 255. 255。 同 时 ,DHCP 服务 器 为 此 客户 机 保留 它 提供 的 IP 地 址 ,从 
而 不 会 为 其 他 DHCP 客户 机 分 配 此 IP 地 址 。 

由 于 客户 机 在 开始 的 时 候 还 没有 IP 地 址 ,所 以 在 其 DHCP discover 封包 内 会 带 有 其 
MAC 地 址 信息 ,并 且 有 一 个 XID 编号 来 辨别 该 封包 ,DHCP 服务 器 响应 的 DHCP 
OFFER 封 包 则 会 根据 这 些 资料 传递 给 要 求 租约 的 客户 。 

(3) 接受 IP 租约 。 

如 果 客 户 机 收 到 网 络 上 多 台 DHCP 服务 器 的 响应 ,只 会 挑选 其 中 一 个 DHCP 
OFFER ,并 且 会 向 网 络 发 送 一 个 DHCP REQUEST 广播 数据 包 , 告 诉 所 有 DHCP 服务 
器 它 将 接受 哪 一 台 服 务 器 提供 的 IP 地 址 ,所 有 其 他 的 DHCP 服务 器 撤销 它们 的 提供 ,以 
便 将 IP 地 址 提供 给 下 一 次 IP 租用 请 求 。 此 时 ,由 于 还 没有 得 到 DHCP 服务 器 的 最 后 确 
认 ,客户 端 仍然 使 用 0. 0. 0. 0 为 源 IP 地 址 ,255. 255. 255. 255 为 目的 地 址 进行 广播 。 

事实 上 ,并 不 是 所 有 DHCP 客户 机 都 会 无 条 件 接受 DHCP 服务 器 的 OFFER ,特别 
是 如 果 这 些 主机 上 安装 了 其 他 TCP/IP 相关 的 客户 机 软件 。 客 户 机 也 可 以 用 DHCP 
REQUEST 向 服务 器 提出 DHCP 选择 ,这 些 选 择 会 以 不 同 的 号 码 填 写 在 DHCP Option 
Field 里 面 。 客 户 机 可 以 保留 自己 的 一 些 TCP/IP 设 定 。 

(4) 租约 确认 。 

当 DHCP 服务 器 接收 到 客户 机 的 DHCP REQUEST 之 后 ,会 以 广播 返回 给 客户 机 


en 第 3 章 防火 墙 网 络 部 署 mmm 


一 个 DHCP ACK 消息 包 , 表 明 已 经 接受 客户 机 的 选择 ,并 将 这 一 IP 地 址 的 合法 租用 以 
及 配置 信息 都 放 入 该 广播 包 发 给 客户 机 。 

客户 机 在 接收 到 DHCP ACK 广播 后 .会 向 网 络 发 送 3 个 针对 此 IP 地 址 的 ARP 解 
析 请 求 以 执行 冲突 检测 ,查询 网 络 上 有 没有 其 他 主机 使 用 该 IP 地 址 。 如 果 发 现 该 IP 地 
址 已 经 被 使 用 ,客户 机 会 发 出 一 个 DHCP DECLINE 数据 包 给 DHCP 服务 器 ,拒绝 此 IP 
地 址 租约 ,并 重新 发 送 DHCP discover 信息 。 此 时 ,DHCP 服务 器 管理 控制 台 会 显示 此 
IP 地 址 为 BAD_ADDRESS。 

如 果 网 络 上 没有 其 他 主机 使 用 此 IP 地 址 , 则 客户 机 的 TCP/IP 使 用 租约 中 提供 的 IP 
地 址 完成 初始 化 ,从 而 可 以 和 其 他 网 络 中 的 主机 进行 通信 。 


311 ”DNS 透明 代理 


代理 服务 技术 是 在 互联 网 早期 就 已 经 使 用 的 技术 。 一 般 实现 代理 技术 的 方式 就 是 在 
服务 器 上 安装 代理 服务 软件 ,让 其 成 为 一 个 代理 服务 器 。 常 用 的 代理 技术 分 为 正 向 代理 、 
反 向 代理 和 透明 代理 。 

透明 代理 是 指 客户 端 不 需要 知道 有 代理 服务 器 的 存在 , 它 改 变 用 户 的 报 文 , 并 会 传送 
真实 IP 地 址 。 加 密 的 透明 代理 则 属于 匿名 代理 ,意味 着 不 用 设置 代理 。 透 明代 理 如 图 3-42 
所 示 。 


Internet 服 务 器 B 


图 3-42 透明 代理 


用 户 A 和 用 户 B 并 不 知道 行为 管理 设备 充当 透明 代理 行为 , 当 用 户 A 或 用 户 B 向 
服务 器 A 或 服务 器 B 提交 请 求 的 时 候 ,透明 代理 设备 根据 自身 策略 拦截 并 修改 用 户 A 或 
B 的 报 文 ,然后 作为 实际 的 请 求 方 ,向 服务 器 A 或 BB 发 送 请 求 。 当 接收 返回 消息 时 ,透明 
代理 再 根据 自身 的 设置 把 允许 的 报 文 发 回 至 用 户 A 或 B, 如 果 透 明代 理 设 置 为 不 允许 访 
问 服务 器 B, 那 么 用 户 A 或 者 用 户 B 就 不 会 得 到 服务 器 B 的 数据 。 

透明 代理 可 以 比 包 过 滤 更 深层 次 地 检查 数据 信息 。 同 时 它 也 是 一 个 非常 快 的 代理 ， 
从 物理 上 分 离 了 连接 ,可 以 提供 更 复杂 的 协议 需要 ,这样 的 通信 是 包 过 滤 无 法 完成 的 。 

防火 墙 使 用 透明 代理 技术 ,这些 代理 服务 对 用 户 也 是 透明 的 ,用 户 意识 不 到 防火 墙 的 
存在 , 便 可 完成 内 外 网 络 的 通信 。 当 内 部 用 户 需要 使 用 透明 代理 访问 外 部 资源 时 ,用 户 不 
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需要 进行 设置 ,代理 服务 器 会 建立 透明 的 通道 ,让 用 户 直 接 与 外 界 通信 ,这 样 极 大 地 方便 
了 用 户 使 用 。 

代理 服务 器 可 以 做 到 内 外 地 址 的 转换 ,屏蔽 内 部 网 络 细节 ,使 非法 分 子 无 法 探知 内 部 
结构 。 代 理 服务 器 提供 特殊 的 筛选 命令 ,可 以 禁止 用 户 使 用 容易 造成 攻击 的 不 安全 的 命 
令 , 从 根本 上 抵御 攻击 。 

防火 墙 使 用 透明 代理 技术 ,还 可 以 使 防火 墙 的 服务 端口 无 法 探测 到 ,也 就 无 法 对 防火 
墙 进行 攻击 ,大 大 提高 了 防火 墙 的 安全 性 与 抗 攻击 性 。 透 明代 理 避 免 了 设置 或 使 用 中 可 
能 出 现 的 错误 ,降低 了 防火 墙 使 用 时 固有 的 安全 风险 和 出 错 概 率 ,方便 用 户 使 用 。 

DNS 透明 代理 技术 除了 能 够 提高 多 链 路 带宽 利用 率 外 ,更 重要 的 是 能 够 减少 恶意 修 
改 DNS 给 终端 用 户 带 来 的 安全 风险 。 

DNS 透明 代理 技术 主要 是 在 内 网 用 户 访问 外 网 资源 的 时 候 对 DNS 解析 的 过 程 进 行 
优化 ,内 网 用 户 的 所 有 DNS 请 求 都 会 通过 防火 墙 进行 转发 ,防火 墙 会 同时 对 两 条 链 路 发 
起 DNS 请 求 ,然后 根据 事先 设 定 的 负载 策略 ,为 用 户 返 回 相 应 的 DNS 请 求 结 果 , 实 现 对 
链 路 带宽 资源 的 合理 利用 。 

如 图 3-43 所 示 , 企 业 分 别 从 ISP1 和 ISP2 租用 了 一 条 链 路 ,ISP1 链 路 的 带宽 为 
100Mb/s,ISP2 链 路 的 带宽 为 50Mb/s。ISP1 的 DNS 服务 器 地 址 为 8. 8. 8. 8 和 8. 8. 8. 9， 
ISP2 的 DNS 服务 器 地 址 为 9. 9. 9. 8 和 9. 9. 9.9。 内 网 用 户 客 户 端的 DNS 服务 器 地 址 均 
设置 为 10. 2.0.70。 企 业 希 望 内 网 用 户 的 上 网 流量 按照 2 : 1 的 比例 分 配 到 ISP1 和 ISP2 
链 路 上 ,保证 各 条 链 路 得 到 充分 利用 且 不 会 发 生 拥 塞 ,提升 内 网 用 户 的 上 网 体验 。 


DNS 服务 器 
8.8.8.10 


SS 


100Mb/s = 网 
ISP2 的 DNS 服务 器 
GE1/0/1 GE1/0/7 9.9.9.8 
SN 2.2.2.2 9.9.9.9 
全 
NS SS 
扩 ~, 
GE1/0/3 
10.3.0.1 
设置 PC 的 DNS 服 务 器 
地 址 均 为 10.2.0.70 
DNS 请 求 -一 -一 一 一- 一 
修改 后 的 DNS 请 求 ------- 一 
上 网 流量 


图 3-43 DNS 透明 代理 
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通过 在 下 一 代 防 火 墙 上 配置 DNS 透明 代理 功能 ,可 以 使 内 网 用 户 的 DNS 请 求 报 文 
按照 2: 1 的 比例 分 配 到 ISP1 与 ISP2 的 DNS 服务 器 上 ,这样 内 网 用 户 的 上 网 流量 也 会 
按照 2:1 的 比例 分 配 到 ISP1 和 ISP2 链 路 上 。 利 用 DNS 透明 代理 功能 处 理 DNS 请 求 
报 文 时 ,使 用 出 接口 上 绑 定 的 DNS 服务 器 地 址 蔡 换 报 文 的 目的 地 址 ,出 接口 需要 利用 智 
能 选 路 功能 选择 。 

360 新 一 代 智 慧 防 火 墙 系统 智能 DNS 功能 可 以 判断 用 户 来 自 内 网 还 是 来 自 中 国电 
信 、 中 国联 通 等 运营 商 ,并 以 此 为 依据 返回 最 优 的 IP 地 址 ,实现 通过 域名 访问 服务 器 时 ， 
内 网 用 户 解析 到 服务 器 内 网 IP 地 址 访问 服务 ,中 国电 信用 户 解析 到 中 国电 信 公 网 IP 地 
址 访问 服务 ,中 国联 通用 户 解析 到 中 国联 通 公 网 IP 地 址 访问 服务 。 
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地 址 解析 协议 (Address Resolution Protocol, ARP) 是 根据 IP 地 址 获取 物理 地 址 的 
一 个 TCP/IP 协议 。 主 机 发 送信 息 时 将 包含 目的 IP 地 址 的 ARP 请 求 广播 给 网 络 上 的 所 
有 主机 ,并 接收 返回 消息 ,以 此 确定 目标 的 物理 地 址 ; 收 到 返回 消息 后 ,将 该 IP 地 址 和 物 
理 地 址 存 人 本 机 ARP 缓存 中 并 保留 一 定时 间 , 下 次 请 求 时 直接 查询 ARP 缓存 以 节约 资 
源 。 地 址 解析 协议 建立 在 网 络 中 各 个 主机 互相 信任 的 基础 上 ,网 络 上 的 主机 可 以 自主 发 
送 ARP 应 答 消息 ,其 他 主机 收 到 应 答 报 文 时 不 检测 该 报 文 的 真实 性 ,就 将 其 记 入 本 机 
ARP 缓存 。ARP 命令 可 用 于 查询 本 机 ARP 缓存 中 IP 地 址 和 MAC 地 址 的 对 应 关系 , 添 
加 或 删除 静态 对 应 关系 等 。 相 关 协 议 有 RARP、 代 理 ARP。ARP 工作 原理 如 图 3-44 
所 示 。 


| 主机 A 广 播发 送 [我 是 209.0.0.5， 硬 件 地 址 00-00-C0-15-AD-18 ， 
| ARP 请 求 分 组 _ ”我 想 知道 主机 209.0.0.6 的 硬件 地 址 。_ 
< 一 ARP 请求 ARP 请 求 | 一 > | ARP 请 求 二 > ”| ARP 请 求 上 = 
2309.0.0.5 209.0.0.6 
到 A Y B 
00-00-C0-15-AD-18 


a 三 我 是 209.0.0.6 , 
主机 B 向 A 发 送 _ 硬件 地 址 08-00-2B-00-EE-OA Sy 
ARP! 响 应 分 纪 
二 二 ARP 响 应 
人 209.0.0.5 209.0.0.6 
A 区 B 
00-00-C0-15-AD-18 08-00-2B-00-EE-0A 


图 3-44 ARP 工作 原理 
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代理 ARP 是 ARP 协议 的 一 个 变种 。 没 有 配置 默认 网 关 的 计算 机 要 和 其 他 网 络 中 

的 计算 机 实现 通信 时 ,网关 收 到 源 计 算 机 的 ARP 请 求 , 会 使 用 自己 的 MAC 地 址 与 目标 

计算 机 的 IP 地 址 对 源 计算 机 进行 应 答 。 代 理 ARP 就 是 使 用 一 个 主机 的 MAC 地 址 对 另 

一 个 主机 的 ARP 进行 应 答 。 它 能 在 不 影响 路 由 表 的 情况 下 添加 一 个 新 的 路 由 器 ,使 得 

子 网 对 该 主机 来 说 变 得 更 透明 化 。 但 代理 ARP 也 会 带 来 巨大 的 风险 ,除了 ARP 欺骗 

和 某 个 网 段 内 的 ARP 增加 以 外 ,最 重要 的 就 是 无 法 对 网 络 拓扑 进行 网 络 概括 。 代 理 

ARP 一 般 使 用 在 没有 配置 默认 网 关 和 路 由 策略 的 网 络 上 。 代 理 ARP 的 工作 过 程 如 
3-45 所 示 。 

广播 ARP 请 求 

主机 A [P=2223MAC=? 1 上 


广播 ARP 请 求 一 
EE ARPt 理 [E72223MAC [_] 
i 
IP=1.1.1.1 (Xx) = 
MAC=00E0.FC01.1111 E00 Re—S EW 


| IP=2.222 


[_] MAC=00E0.FC04.4444 [_ 
一 


IP=2.2.2.3 
MAC=00E0.FC03.3333 


单 播 ARP 响 应 
TP=7.7.7.3 
MAC-00E0.TC02.2222 

二 一 一 | 


主机 A -一 
L_ i 
ARP 代 理 IP=2.2.2.3 

ee MAC=00E0.FC03.3333| 
IP=1.1.1.1 (xX) [= 
MAC=00E0.FCO11111 E0/0 

IP=1.1.1.2 主机 B 
MAC=00E0.FC02.2222 [四 
| ls 


IP=2.2.2.3 
MAC=00E0.FC03.3333 


3-45 ”代理 ARP 的 工作 过 程 


主机 A 和 主机 也 虽然 属于 不 同 的 广播 域 ,但 它们 处 于 同一 网 段 中 ,因此 主机 A 会 向 
主机 也 发 出 ARP 请 求 广播 包 ,请求 获得 主机 B 的 MAC 地 址 。 由 于 路 由 器 不 会 转发 广播 
包 , 因 此 ARP 请 求 只 能 到 达 路 由 器 ,不 能 到 达 主 机 B。 

当 在 路 由 器 上 启用 ARP 代理 后 ,路 由 器 会 查看 ARP 请 求 , 发 现 IP 地 址 172. 16. 20. 100 
属于 它 连 接 的 另 一 个 网 络 , 因 此 路 由 器 用 自己 的 接口 MAC 地 址 代替 主机 B 的 MAC 地 
址 ,向 主机 A 发 送 一 个 ARP 应 答 。 主 机 A 收 到 ARP 应 答 后 ,会 认为 主机 也 的 MAC 地 
址 就 是 00-00-0c-94-36-ab ,不 会 感知 到 ARP 代理 的 存在 。 在 接 下 来 的 数据 通信 中 ,主机 
A 先 将 数据 通过 单 播发 给 路 由 器 ,由 路 由 器 再 单 播 转发 给 主机 B。 
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3.13 _VPN 


虚拟 私有 网 络 (Virtual Private Network,VPN) 是 指 在 公用 网 络 上 建立 一 个 私有 的 、 
专用 的 虚拟 通信 网 络 。VPN 在 企业 网 络 中 有 广泛 应 用 。VPN 网 关 通 过 对 数据 包 的 加 密 
和 数据 包 目 标 地 址 的 转换 实现 远程 访问 。VPN 有 多 种 分 类 方式 ,按照 VPN 技术 实现 的 
网 络 层次 ,可 以 进行 如 下 分 类 : 

。 基于 数据 链 路 层 的 VPN: L2TP VPN、L2F VPN、PPTP VPN。 

。 基于 网 络 层 的 VPN: GRE VPN IPSec VPN。 

。 基于 应 用 层 的 VPN: SSL VPN。 

在 360 新 一 代 智慧 防火 墙 中 ,防火 墙 系统 支持 多 种 形式 建立 VPN 隧道 ,覆盖 网 关 到 
网 关 和 客户 端 到 网 关 。 用 户 可 以 选择 通过 PPTP/L2TP/GRE/IPSec/SSL 协议 建立 
VPN ,并 支持 L2TP/GRE over IPSec。 下 面 介 绍 IPSec VPN 和 SSL VPN 技术 。 


3.13.1 IPSec VPN 

IPSec VPN 是 一 种 三 层 隧 道 协议 。 三 层 隧 道 协议 是 把 各 种 网 络 协议 直接 装 和 人 隧道 
协议 中 ,形成 的 数据 包 依靠 第 三 层 协 议 进 行 传输 。 同 时 IPSec VPN 还 提供 安全 协议 选 
择 、 安 全 算法 、 确 定 服务 所 使 用 的 密 钥 等 服务 ,从 而 在 IP 层 提供 安全 保障 。IPSec VPN 如 
图 3-46 所 示 。 


SEE 


NGFW 


外 部 防火 墙 1 防火 墙 2 内 部 
3-46 IPSec VPN 示意 图 


IPSec 是 一 个 框架 性 架构 ,具体 由 两 类 协议 组 成 : 

(1) AH(Authentication Header) 协 议 。 可 以 同时 提供 数据 完整 性 确认 数据 来 源 确 
认 、 防 重 放 等 安全 特性 。AH 常用 摘要 算法 ( 单 向 Hash 函数 ) MD5 和 SHA1 实现 该 
特性 。 

(2) ESP(Encapsulated Security Payload) 协 议 。 可 以 同时 提供 数据 完整 性 确认 、 数 
据 加 密 、 防 重 放 等 安全 特性 。ESP 通常 使 用 DES、3DES、AES 等 加 密 算法 实现 数据 加 密 ， 
使 用 MD5 或 SHA1 实现 数据 完整 性 。 

隧道 技术 是 VPN 的 基本 技术 ,类似 于 点 到 点 连接 技术 。 它 的 基本 过 程 是 : 在 数据 进 
入 源 VPN 网 关 后 ,将 数据 “封装 ”, 然 后 通过 公 网 传输 到 目的 VPN 网 关 , 再 对 数据 “ 解 封 
装 ”。“ 封 装 / 解 封装 ”过 程 本 身 就 可 以 为 原始 报 文 提供 安全 防护 功能 。IPSec 有 如 下 两 种 
封装 模式 : 

(1) 隧道 (Tunnel) 模 式 。 用 户 的 整个 IP 数据 包 被 用 来 计算 AH 或 ESP 头 ,AH 或 
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ESP 头 以 及 ESP 加 密 的 用 户 数据 被 封装 在 一 个 新 的 IP 数据 包 中 。 通 常 隧道 模式 应 用 于 
两 个 安全 网 关 之 间 的 通信 。 

(2) 传输 (Transport) 模 式 。 只 用 传输 层 数 据 计 算 AH 或 ESP 头 ,AH 或 ESP 头 以 
及 ESP 加 密 的 用 户 数据 被 放置 在 原 IP 包头 后 面 。 通 常 ,传输 模式 应 用 于 两 台 主 机 之 间 
的 通信 ,或 一 台 主 机 和 一 个 安全 网 关 之 间 的 通信 。 

安全 联盟 (Security Association,SA) 是 指 IPSec 中 通信 双方 建立 的 连接 。 顾 名 思 义 ， 
通信 双方 结 成 盟友 ,使 用 相同 的 封装 模式 、 加 密 算法 、 加 密 密 钥 、 验 证 算法 、 验 证 密 钥 。SA 
由 一 个 三 元 组 来 唯一 标识 ,这 个 三 元 组 包括 安全 参数 索引 (Security Parameter Index， 
SPD .目的 IP 地址、 安全 协议 号 (AH 或 ESP) 。 

安全 联盟 是 单 向 的 逻辑 连接 ,为 了 使 每 个 方向 都 得 到 保护 , 源 VPN 网 关 和 目的 VPN 
网 关 的 每 个 方向 上 都 要 建立 安全 联盟 。 同 时 ,如 果 通 信和 双方 希 望 同时 使 用 AH 和 ESP 来 
进行 安全 通信 , 则 每 个 对 等 体 都 会 针对 每 一 种 协议 构建 一 个 独立 的 SA。 

建立 SA 的 方式 有 手工 配置 和 IKE 自动 协商 两 种 。 手 工 配 置 是 人 为 设 定 封 装 模 式 、 
加 密 算法 、 加 密 密 钥 、 验 证 算法 、 验 证 密 钥 。 手 工 方式 的 IPSec VPN 解决 了 通信 双方 秘密 
通信 的 问题 ,但 由 于 VPN 节点 数量 在 不 断 增加 ,并 且 手 工 方式 下 防火 墙 的 加 密 和 验证 所 
使 用 的 密 钥 都 是 手工 配置 的 ,为 了 保证 IPSec VPN 的 长 期 安全 ,需要 经 常 修改 这 些 密 钥 。 
VPN 节点 数量 越 多 , 密 钥 的 配置 和 修改 工作 量 就 越 大 。 为 了 降低 IPSec VPN 的 管理 工 
作 量 ,可 以 使 用 互联 网 密 钥 交 换 (Internet Key Exchange,IKE) 协 议 解决 这 个 问题 。IKE 
综合 了 三 大 协议 : ISAKMP(Internet Security Association and Key Management Protocol) 、 
Oakley 协议 和 SKEME 协议 。ISAKMP 主要 定义 了 IKE 伙伴 (IKE peer) 之 间 合 作 关系 
的 建立 过 程 。Oakley 协议 和 SKEME 协议 的 核心 是 DH(Diffie-Hellman) 算 法 ,主要 用 于 
在 Internet 上 安全 地 分 发 密 钥 、 验 证 身份 ,以 保证 数据 传输 的 安全 性 。 

基于 以 上 技术 ,IPSec VPN 提供 了 3 种 安全 机 制 : 认证 ,加 密 和 数据 完整 性 。 

(1) 认证 。 使 IP 通信 的 数据 接收 方 能 够 确认 数据 发 送 方 的 真实 身份 以 及 数据 在 传 
输 过 程 中 是 否 遭 算 改 。 

(2) 加 密 。 通 过 对 数据 进行 加 密 运算 来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 
被 窃听 。 

(3) 数据 完整 性 。 使 IP 通信 的 数据 接收 方 能 够 确认 数据 在 传输 过 程 中 是 否 遭 算 改 。 


3.13.2 SSL VPN 


虽然 IPSec VPN 具有 较 高 的 安全 性 ,但 是 也 存在 一 些 缺 点 ,例如 ,组 网 不 灵活 ,需要 
安装 客户 端 软件 ,导致 在 部 署 和 维护 时 操作 比较 麻烦 ,管理 员 无 法 确 知 是 谁 在 利用 VPN 
访问 内 网 资源 等 问题 。 而 SSL VPN 是 一 种 新 型 的 轻 量 级 远程 接 入 方案 ,可 以 有 效 地 解 
决 IPSec VPN 的 上 述 问题 ,在 实际 远程 接 入 方案 中 应 用 非常 广泛 。 

SSL VPN 技术 的 工作 过 程 是 : 远程 接 入 用 户 利用 标准 Web 浏览 器 内 嵌 的 安全 套 接 
层 (Security Socket Layer,SSL) 封 包 处 理 功能 连接 企业 内 部 的 SSL VPN 服务 器 ,SSL 
VPN 服务 器 可 以 将 报 文 转发 给 特定 的 内 部 服务 器 ,从 而 使 得 远程 接 入 用 户 在 通过 验证 后 
可 访问 企业 内 部 的 服务 器 资源 。 其 中 ,远程 接 入 用 户 与 SSL VPN 服务 器 之 间 采 用 标准 
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的 SSL 协议 对 传输 的 数据 包 进 行 加 密 , 这 相当 于 在 远程 接 入 用 户 与 SSL VPN 服务 器 之 
间 建 立 隧道 。 

SSL VPN 工作 在 传输 层 和 应 用 层 之 间 ,不 会 改变 IP 报 文 头 和 TCP 报 文 头 , 不 会 影 
响 原 有 网 络 拓扑 。 如 果 网 络 中 部 署 了 防火 墙 ,只 需 放 行 传统 的 HTTPS(443) 端 口 。SSL 
VPN 基于 B/S 架构 ,无 须 安装 客户 端 ,只 需要 使 用 普通 的 浏览 器 进行 访问 ,方便 易 用 。 
相对 于 IPSec 网 络 层 的 控制 ,SSL VPN 的 所 有 访问 控制 都 基于 应 用 层 , 其 细 分 程度 可 以 
达到 URL 或 文件 级 别 , 可 以 大 大 提高 企业 远程 接 入 的 安全 性 。 

SSL 是 一 种 在 客户 端 和 服务 器 之 间 建 立 安全 通道 的 协议 ,是 Netscape 公司 提出 的 基 
于 Web 应 用 的 安全 协议 , 它 为 基于 TCP/IP 连接 的 应 用 程序 协议 (如 HTTP、Telnet 和 
FTP 等 ) 提 供 数据 加 密 、 服 务 器 认证 、 消 息 完 整 性 以 及 可 选 的 客户 端 认 证 。SSL 协议 具备 
如 下 特点 : 

(1) 所 有 数据 信息 都 是 加 密 传输 的 ,第 三 方 无 法 获取 。 

(2) 具有 校 验 机 制 , 信 息 一 旦 被 自 改 ,通信 双方 就 会 立刻 发 现 。 

(3) 配备 身份 证 书 , 防 止 身 份 被 冒充 。 

为 了 保证 SSL VPN 接 入 用 户 的 合法 性 ,提升 系统 安全 性 ,SSL VPN 服务 器 往往 支 
持 多 种 认证 方式 ,上 文 一 直 在 以 配置 并 存储 在 防火 墙 上 的 用 户 名 /密码 为 例 , 这 是 最 基本 、 
最 简单 的 认证 方式 。360 新 一 代 智 慧 防火 墙 支持 以 下 认证 方式 ， 

(1) 用 户 名 /密码 的 本 地 认证 。 将 用 户 名 和 密码 在 防火 墙 上 配置 并 存储 ,用 户 输入 与 
之 匹配 的 用 户 名 和 密码 即 可 成 功 登 录 。 

(2) 用 户 名 /密码 的 服务 器 认证 。 将 用 户 名 和 密码 存储 在 专门 的 认证 服务 器 上 ,用户 
输入 用 户 名 和 密码 后 ,防火墙 将 其 转 至 认证 服务 器 进行 认证 。 当 前 支持 的 认证 服务 器 类 
型 包括 RADIUS、AD、LDAP。 

(3) 证 书 匿名 认证 。 用 户 的 客户 端 配备 客户 端 证 书 , 防 火 墙 通过 验证 客户 端的 证 书 
来 认证 用 户 身份 。 


3.14 QoS 


在 传统 的 IP 网 络 中 ,所 有 的 报 文 都 被 无 差别 地 同等 对 待 ,每 个 路 由 器 对 所 有 的 报 文 
均 采 用 先入 先 出 (First In First Out, FIFO) 的 策略 进行 处 理 , 它 尽 最 大 的 努力 (best-ef- 
fort) 将 报 文 送 到 目的 地 ,但 对 报 文 传送 的 丢 包 率 、 时 延 , 拌 动 等 性 能 不 提供 任何 保证 。 

随 着 IP 网 络 上 新 应 用 的 不 断 出 现 ,对 IP 网 络 的 服务 质量 也 提出 了 新 的 要 求 。 为 了 
支持 具有 不 同 服务 需求 的 语音 、 视 频 以 及 数据 等 业务 ,要 求 网 络 能 够 区 分 出 不 同 的 业务 类 
型 ,进而 为 之 提供 相应 的 服务 质量 (Quality of Service,.QoS) 。 

QoS 是 指 IP 网 络 的 一 种 能 力 , 即 在 跨越 多 种 底层 网 络 技术 (MP、FR、ATM、Ether- 
net\SDH .MPLS 等 ) 的 IP 网 络 上 ,满足 其 在 丢 包 率 、 延 迟 .抖动 和 带宽 等 方面 的 要 求 ,为 
特定 的 业务 提供 其 所 需要 的 服务 。 更 简单 地 说 .QoS 针对 各 种 不 同 需求 ,提供 不 同 服务 
质量 的 网 络 服务 。 
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网 络 带宽 用 于 衡量 网 络 的 吞吐 能 力 ,单位 为 b/s。 它 的 最 大 值 为 数据 转发 路 径 上 最 
小 链 路 的 带宽 值 ,如 图 3-47 所 示 。 如 果 网 络 上 存在 多 个 数据 流 ,它们 将 互相 竞争 带宽 。 
网 络 带 宽 取 决 于 物理 链 路 的 速率 ,通过 QoS 技术 可 以 提高 网 络 带 宽 的 利用 效率 。 
PC2 


100Mb/s 2Mb/s G9 
1000Mb/s 


RTC RTB RTA 


数据 流 


PC1 
BWas= min(100Mb/s, 2Mb/s, 10Mb/s, 1000Mb/s) = 2Mb/s 


3-47 ”带宽 大 小 示意 图 


为 了 保证 服务 质量 (最 小 时 延 、 最 大 带宽 等 ), QoS 首先 需要 进行 流 分 类 , 即 采用 一 定 
规则 识别 和 区 分 不 同 特征 的 报 文 ,然后 根据 网 络 的 状况 对 流量 进行 不 同 的 处 理 , 具 体 的 处 
理 形式 包括 流量 监管 ,流量 整形 .拥塞 管理 及 拥塞 避免 等 。 

QoS 需要 路 由 器 能 够 根据 事先 规定 的 规则 对 报 文 头 的 某 些 字段 进行 分 类 识别 ,判断 
其 对 应 的 流量 规范 ,然后 设置 不 同 优先 级 ,以 便 实现 不 同 的 转发 处 理 , 这 就 是 流 分 类 和 
标记 。 

QoS 策略 可 以 检测 或 主动 限制 进入 某 一 网 络 的 某 一 连接 的 流量 , 当 某 个 连接 的 流量 
过 大 以 至 超过 约定 带宽 时 ,就 可 以 根据 报 文 的 类 别 采 取 不 同 的 方式 进行 处 理 , 如 丢弃 或 进 
行 缓存 等 。 

当 网 络 拥塞 时 ,QoS 通过 队列 调度 机 制 对 不 同 优先 级 的 报 文 进行 数据 的 重新 排序 ， 
保证 不 同 优先 级 的 报 文 得 到 不 同 的 QoS 待遇 。 将 不 同 优先 级 的 报 文 加 入 不 同 的 队列 ,不 
同 队 列 将 得 到 不 同 的 调度 优先 级 、 概 率 或 带宽 保证 ,如 图 3-48 所 示 。 


和 优先 队列 
未 标记 的 报 广 金牌 服务 ee 已 标记 的 报 广 
银 由 服务 。 ”党 国 本 加 一 
铜牌 服务 2 输出 队列 


图 3-48 ”队列 调度 示意 图 


动态 带宽 分 配 (Dynamically Bandwidth Assignment,.DBA) ,动态 带宽 分 配 是 一 种 能 

在 微 秒 或 毫秒 级 的 时 间 间 隔 内 完成 对 上 行 带宽 的 动态 分 配 的 机 制 。 通 过 采用 DBA ,可 以 

提高 PON(Passive Optical Network ,无 源 光 网 络 ) 端 口 的 上 行 线路 带宽 利用 率 , 可 以 在 

PON 端口 上 增加 更 多 的 用 户 , 用 户 可 以 享受 到 更 高 带宽 的 服务 ,特别 是 那些 带宽 占用 量 
68 


eg 第 3 章 防火 墙 网 络 部 署 mm 


波动 比较 大 的 业务 ,可 以 获得 更 高 的 带宽 利用 率 。 防 火 墙 采 用 DBA 来 提高 系统 上 行 带 
宽 利 用 率 , 保 证 业务 公平 性 和 QoS, 能 根据 队列 状态 信息 分 配 带宽 授权 。 基 于 QoS 的 
DBA 具有 多 种 算法 : 

(1) 具有 绝对 QoS 保证 的 DBA 算法 将 上 行 带宽 分 成 相等 的 带宽 单元 ,然后 进行 
轮 询 。 

(2) 具有 相对 QoS 保证 的 DBA 算法 在 ONU(Optical Network Unit, 光 网 络 单元 ) 层 
根据 优先 级 来 分 配 带宽 。 

(3) 基于 QoS 的 DBA 算法 在 PON 层 将 数据 包 分 为 3 个 等 级 ,加 入 不 同 的 队列 中 等 

下 一 代 防 火 墙 用 户 进行 带宽 管理 时 ,优先 级 可 选 高 、 中 、 低 3 级 。 在 能 够 满足 所 有 用 
户 带宽 需求 的 情况 下 ,高 优先 级 用 户 将 抢占 中 、 低 优先 级 用 户 的 带宽 ,中 优先 级 用 户 将 抢 
占 低 优先 级 用 户 的 带宽 。 当 网 络 中 存在 空闲 带宽 时 ,防火 墙 系统 会 根据 当前 网 络 带宽 分 
配 情况 ,自动 将 空闲 带宽 分 配给 重要 业务 ,保证 重要 业务 的 正常 访问 。 

在 下 一 代 防 火 墙 上 部 署 带宽 管理 ,可 以 帮助 网 络 管理 员 合理 分 配 带宽 资源 ,从 而 提升 
网 络 运营 质量 。 


思 考 题 


(1) 什么 是 安全 域 ? 简 述 防火 墙 上 通常 预定 义 的 3 个 安全 域 。 

(2) IPv4 向 IPv6 过 渡 有 哪 几 种 方法 ? 简 述 其 实现 原理 。 

(3) 什么 是 VLAN 技术 ? VLAN 技术 有 几 种 组 网 方式 ?” 原理 是 什么 ? 
(4) 简 述 划分 VLAN 的 原因 及 优点 。 

(5) 路 由 分 为 哪 几 种 类 型 ? 

(6) 动态 路 由 支持 哪 几 种 动态 路 由 协议 ? 简 述 这 几 种 路 由 协议 的 原理 。 
(7) 简 述 防火 墙 二 层 透 明 网 桥 模式 与 三 层 路 由 模式 的 优 缺点 。 

(8) 简 述 静态 NAT 与 动态 NAT 过 程 。 

(9) 简 述 DHCP 服务 器 工作 流程 。 

(10) 什么 是 DNS 透明 代理 技术 ? 

(11) 简 述 SSL VPN 协议 分 装 模 式 和 机 制 。 
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防火 墙 技术 及 应 用 


防火 墙 安全 功能 应 用 


本 章 重 点 介绍 防火 墙 安全 功能 的 应 用 ,包括 : 防火 墙 安全 域 的 基础 防护 ;防火 墙 为 保 
障 边界 安全 所 使 用 的 访问 控制 ,攻击 防御 、 入 侵 防 御 、 病 毒 防御 和 安全 认证 等 技术 ;360 新 
一 代 智慧 防火 墙 提出 的 SSL 解密 、 云 管 端 协同 联动 .基于 网 络 的 检测 与 处 置 以 及 集中 管 
理 等 新 技术 。 


4.1 安全 策略 概述 


4.1.1 基本 概念 


防火 墙 的 基本 作用 是 保护 网 络 免 遭 不 受信 任 网 络 的 攻击 ,但 同时 还 必须 允许 两 个 网 
络 之 间 的 合法 通信 。 安 全 策略 的 作用 就 是 对 通过 防火 墙 的 数据 流 进行 检验 ,符合 安全 策 
咯 的 合法 数据 流 才能 通过 防火 墙 。 不 同 的 域 间 方 向 应 使 用 不 同 的 安全 策略 进行 不 同 的 
控制 。 

安全 策略 是 由 匹配 条 件 和 动作 组 成 的 控制 规则 ,可 以 基于 IP、 端 口 ,协议 等 属性 进行 
细 化 的 控制 。 防 火 墙 将 流量 的 属性 与 安全 策略 的 条 件 进 行 匹 配 。 如 果 所 有 条 件 都 匹配 ， 
则 此 流量 成 功 匹 配 安全 策略 ;如果 其 中 有 一 个 条 件 不 匹配 , 则 未 匹配 安全 策略 。 安 全 策略 
如 图 4-1 所 示 。 

同一 域 间或 域内 应 用 多 条 安全 策略 ,策略 的 优先 级 按照 配置 顺序 进行 排列 , 越 先 配置 
的 策略 优先 级 越 高 , 越 先 匹配 报 文 。 如 果 报 文 匹配 到 一 条 策略 就 不 再 继续 匹配 剩 下 的 策 
略 , 如 果 没 有 匹配 到 任何 策略 就 按 缺 省 包 过 滤 处 理 。 所 以 配置 策略 要 先 细 粒度 后 粗 粒度 。 

下 一 代 防 火 墙 对 一 体 化 、 应 用 识别 与 管控 、 高 性 能 等 的 要 求 比 传统 防火 墙 更 高 。 安 全 
策略 充分 体现 了 这 些 特质 ,通过 应 用 、 用 户 、 内 容 、 威 胁 等 多 个 维度 的 识别 将 模糊 的 网 络 环 
境 映射 为 实际 的 业务 环境 ,从 而 实现 精准 的 访问 控制 和 安全 检测 。 


4.1.2 一 体 化 安全 策略 


在 下 一 代 防 火 墙 上 ,安全 策略 是 控制 流量 转发 以 及 对 流量 进行 内 容 安全 检测 处 理 的 
一 体 化 策略 。 防 火 墙 系统 的 安全 策略 功能 是 防火 墙 的 核心 功能 ,提供 基于 状态 检测 、 基 于 
应 用 层 数据 识别 的 动态 包 过 滤 技 术 。 通 过 源 安全 域 . 目 的 安全 域 . 源 地 址 .目的 地 址 、 地 理 
位 置 . 用 户 、 服 务 、 应 用 、 时 间 段 等 维度 对 数据 进行 识别 ,将 用 户 需要 进行 过 滤 及 控制 的 数 
据 流 分 离 , 并 对 相应 的 数据 实现 反 病毒 、 漏 洞 防御 、 防 间谍 软件 .URL 过 滤 、 文 件 过 滤 、 内 
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雪人 
| 条 作 安全 配置 文件 
流量 | “| | 源 安全 域 反 病 毒 
| [和 的 安全 汤 洞 防护 
源 地 址 /地 理 位 置 Cm | | 
目的 地 址 /地 理 位 置 URL 过 滤 | 
用 户 | [xi 
服务 内 容 过 滤 
应 用 邮件 过 滤 
时 间 段 | 


4-1 安全 策略 


容 过 滤 、 邮 件 过 滤 、 应 用 行为 控制 的 一 体 化 策略 配置 。 

这 里 的 一 体 化 主要 体现 在 两 个 方面 : 一 方面 体现 在 内 部 处 理 上 ,通过 智能 感知 引擎 
对 一 个 数据 流 只 进行 一 次 检测 ,多 业务 并 行 处 理 , 提 高 了 设备 的 处 理性 能 ; 另 一 方面 体现 
在 外 部 配置 上 ,所 有 内 容 安 全 功能 都 可 以 通过 在 安全 策略 中 引用 安全 配置 文件 来 实现 , 降 
低 了 网 络 管理 员 的 配置 难度 。 

如 图 4-2 所 示 ,一 体 化 安全 策略 中 包含 很 多 匹配 条 件 , 通 过 这 些 条 件 可 以 精确 地 识别 
出 各 类 数据 流 。 下 一 代 防 火 墙 支持 配置 多 条 安全 策略 ,多 条 安全 策略 之 间 存 在 优先 级 关 
系 ( 即 匹配 顺序 ) ,数据 流 会 按照 从 上 到 下 的 顺序 进行 匹配 。 如 果 数 据 流 匹配 一 条 安全 策 
略 ,下 一 代 防 火 墙 就 会 按照 该 安全 策略 的 动作 对 数据 流 进行 处 理 , 不 会 再 去 匹配 下 一 条 安 
全 策略 。 


ee ] 
全 | | 

| 入 侵 防御 处 理 | 

1 

厅 | 一 站 -1 [及 吉 本 |! 

2 个 | | | 
测 | URL 过 滤 处 |! 

! | 

| | 

| 1 

和 一 


4-2 一 体 化 安全 策略 


一 体 化 安全 策略 将 传统 五 元 组 访问 控制 与 具有 下 一 代 防 火 墙 特征 的 用 户 识别 、 应 用 
识别 控制 有 机 地 结合 起 来 ,对 安全 策略 配置 方式 进行 了 高 度 集成 和 融合 ,在 一 条 策略 中 即 
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可 全 部 或 部 分 选择 入 侵 防御 、 防 病毒 、URL 过 滤 、 内 容 过 滤 等 功能 , 免 去 用 户 以 往 在 多 个 
不 同安 全 配置 页 面 间 频 繁 切 换 , 重 复 配 置 的 不 便 。 


4.1.3 安全 策略 智能 管理 


随 着 网 络 信息 化 技术 的 发 展 及 网 络 规模 的 扩大 ,网 络 攻击 也 变 得 更 加 智能 和 复杂 。 
以 往 的 防火 墙 需要 在 充分 了 解 攻击 的 前 提 下 向 特征 检测 数据 库 中 添加 IPS 特征 ,才能 对 
新 的 攻击 类 型 进行 有 效 防御 ,这 种 方法 已 经 无 法 很 好 地 满足 企业 业务 的 需求 。 防 火 墙 需 
要 更 加 智能 化 ,需要 在 攻击 还 未 发 生 时 就 能 感知 威胁 的 存在 ,并 且 提 前 报警 。 

下 一 代 防 火 墙 创新 性 地 提供 了 智能 策略 功能 ,增强 了 安全 策略 的 自动 化 管理 能 力 , 利 
用 策略 元 余 分 析 、 策 略 命 中 分 析 和 应 用 风险 调 优 3 种 功能 协同 实现 安全 策略 智能 管理 。 

(1) 策略 元 余 分 析 工 具 只 分 析 动 作 相 同 的 安全 策略 的 匹配 条 件 , 将 高 优先 级 的 安全 
策略 依次 与 低 优先 级 的 策略 进行 遍历 比较 ,如 果 符 合 以 下 两 种 情况 的 任意 一 种 , 便 会 认定 
安全 策略 出 现 完全 元 余 : 

。 所 有 匹配 条 件 完全 相同 的 安全 策略 , 则 低 优先 级 的 安全 策略 会 被 认定 为 完全 

元 余 。 
。 安 全 策略 A 的 所 有 匹配 条 件 被 安全 策略 B 完全 包含 ,并 且 安 全 策略 A 的 优先 级 
低 于 安全 策略 B, 则 安全 策略 A 会 被 认定 为 完全 宛 余 。 

(2) 策略 命中 分 析 的 依据 是 流量 是 否 匹配 安全 策略 ,因此 在 进行 策略 命中 分 析 前 , 需 
要 下 一 代 防 火 墙 正常 运行 一 段 时 间 ,以 保证 分 析 结 果 更 全 面 、 准 确 。 

(3) 应 用 风险 调 优 只 针对 有 流量 命中 且 动作 为 允许 的 安全 策略 。 它 能 够 识别 安全 策 
略 中 包含 的 应 用 类 别 ,将 基于 服务 的 安全 策略 转换 为 基于 应 用 的 安全 策略 ;还 可 以 识别 安 
全 策略 中 包含 的 应 用 风险 ,并 对 相应 的 风险 进行 深度 防御 , 即 在 安全 策略 中 引用 入 侵 防 
御 、 反 病毒 等 安全 配置 文件 。 应 用 风险 是 下 一 代 防 火 墙 标识 应 用 安全 性 的 一 个 属性 。 下 
一 代 防 火 墙 为 常用 应 用 定义 了 相应 的 风险 类 型 ,而 对 于 各 类 风险 类 型 提供 了 相应 的 防御 
措施 。 如 果 安 全 策略 中 使 用 了 某 些 应 用 作为 匹配 条 件 , 却 没有 配置 相应 的 防御 措施 ,或 者 
配置 的 防御 措施 不 全 面 , 则 应 用 风险 调 优 工具 会 认为 该 安全 策略 存在 应 用 风险 ,需要 进 一 
步 优化 调整 。 应 用 风险 调 优 工 具 对 该 条 安全 策略 的 调 优 处 理 包 括 以 下 3 个 方面 : 

。 将 所 有 的 应 用 都 作为 该 安全 策略 的 匹配 条 件 。 这 里 的 应 用 包括 原 安全 策略 中 已 
配置 的 应 用 ,以 及 下 一 代 防 火 墙 在 已 命中 安全 策略 的 流量 中 识别 出 的 所 有 应 用 。 
这 样 就 使 匹配 条 件 中 的 应 用 类 型 更 加 真实 和 全 面 , 也 有 助 于 网 络 管理 员 了 解 业 务 
的 流量 构成 。 

将 所 有 的 应 用 作为 深度 防御 对 象 ,为 其 配置 策略 防护 动作 , 即 在 安全 策略 中 配置 
内 容 安全 功能 。 目 前 应 用 风险 调 优 工具 只 支持 引用 默认 存在 的 安全 策略 配置 文 
件 (Default) ,如 需 引 用 自 定义 配置 文件 ,网 络 管理 员 应 手动 修改 该 安全 策略 。 

不 改变 当前 策略 的 配置 ,生成 一 条 新 的 安全 策略 放 在 原 有 策略 之 前 ,优先 级 高 于 
原 有 策略 。 这 样 操作 能 够 起 到 策略 备份 的 作用 ,如 果 调 优 后 的 安全 策略 影响 业务 
运行 ,可 以 快速 恢复 原 有 安全 策略 。 新 的 安全 策略 在 运行 一 段 时 间 之 后 ,如 果 没 
有 问题 ,再 使 用 策略 元 余 分 析 工 具 去 掉 原 有 安全 策略 。 
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在 部 署 安 全 策略 时 ,循环 使 用 策略 元 余 分 析 、 策 略 命中 分 析 和 应 用 风险 调 优 3 种 功 
能 ,提高 安全 策略 的 时 效 性 ,持续 保护 企业 内 网 安全 ,如 图 4-3 所 示 。 


首次 配置 
配置 宽泛 的 安全 策 
， 安 全 防御 能 力 
太守 二 一 后 | 
1 元 余 分 析 命中 分 析 | 
| | 在 不 依赖 数据 流 的 | | 在 数据 流 经 过 设备 | | 
数 | | | 情况 下 技 出 宛 余 或 后 ， 识 别 出 调 优 后 | ! 
提 | | _ 完 全 一 致 的 策略 产生 的 无 效 策略 | | 
经 | i 
过 | | 1 1 
区 1 命中 分 析 策略 调 优 | 
1 | “在 数据 流 经 过 设备 | 。| 识别 具体 应 用 ， 根 据 
| | 后， 技 出 没有 命中 最 小 授权 原则 调整 安 
1 | 的 策略 全 策略 ,进行 深度 防护 
& 之 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 J 
图 4-3 智能 策略 


因此 智能 策略 功能 提供 的 策略 元 余 分 析 、 策 略 命中 分 析 和 应 用 风险 调 优 工 具 能 够 有 
效 减 少 网 络 管理 员 人 工 操 作 的 劳动 量 ,缩短 调 测 时 间 , 降 低 维 护 成 本 。 


4.23 访问 控制 策略 


访问 控制 是 明确 什么 角色 的 用 户 能 访问 什么 类 型 的 资源 。 使 用 访问 控制 可 以 防止 用 
户 对 计算 资源 、 通 信 资 源 或 信息 资源 等 进行 未 授权 的 访问 ,是 一 种 针对 越权 使 用 资源 的 防 
御 措施 。 未 授权 的 访问 包括 未 经 授权 的 使 用 、 泄 露 .修改 .销毁 信息 以 及 发 布 指令 等 。 

在 访问 控制 中 存在 以 下 几 个 概念 : 

(1) 客体 (object)。 规 定 需要 保护 的 资源 ,又 称 为 目标 (target)。 

(2) 主体 (subject)。 是 一 个 主动 的 实体 ,规定 可 以 访问 该 资源 的 实体 (通常 指 用 户 或 
代表 用 户 执行 的 程序 ) ,又 称 为 发 起 者 Cinitiator) 。 

(3) 授权 (authorization)。 规 定 可 对 该 资源 执行 的 动作 ,例如 读 、 写 ,执行 或 拒绝 
访问 。 

访问 控制 的 基本 模型 如 图 4-4 所 示 。 访 问 是 主体 对 客体 实施 操作 的 能 力 ; 访 问 控制 
是 指 以 某 种 方式 限制 或 授予 主体 这 种 能 力 ; 授 权 是 指 主体 经 过 系统 鉴别 后 ,系统 根据 主体 
的 访问 请 求 来 决定 对 目标 执行 动作 的 权限 。 

访问 控制 是 在 主体 身份 得 到 认证 后 ,根据 安全 策略 对 主体 行为 进行 限制 的 机 制 和 手 
段 ; 是 在 保障 授权 用 户 能 获取 资源 的 同时 拒绝 非 授 权 用 户 越权 访问 资源 的 安全 机 制 。 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 被 非 
法 使 用 , 它 是 保证 网 络 安全 最 重要 的 核心 策略 之 一 。 

网 络 安全 采用 的 技术 很 多 .通过 访问 控制 列表 (ACL) 对 数据 包 进 行 过 滤 ,实现 访问 
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提交 访问 请 求 发 出 访问 请 求 


访问 控制 实施 功能 


| 


请 求 决策 


访问 控制 决策 功能 
图 4-4 访问 控制 的 基本 模型 


控制 ,是 实现 基本 网 络 安 全 的 手段 之 一 。 

ACL 是 一 种 基于 包 过 滤 的 控制 技术 , 它 在 路 由 器 、 三 层 交 换 机 中 被 广泛 采用 。ACL 
对 数据 包 的 源 地 址 \ 目 的 地 址 、 端 口号 及 协议 号 等 进行 检查 ,并 根据 数据 包 是 否 匹 配 ACL 
规定 的 条 件 来 决定 是 否 允 许 数据 包 通 过 。 

ACL 有 多 种 类 型 : 

(1) 接口 ACL: 是 基于 接口 的 ACL。 

(2) 基本 ACL: 只 根据 源 IP 地 址 进行 过 滤 。 

(3) 高 级 ACL: 根据 数据 包 的 源 和 目的 IP 地址、 端口 \IP 承载 的 协议 类 型 .协议 特性 
等 三 、 四 层 信息 进行 过 滤 。 

(4) 二 层 ACL: 根据 源 和 目的 MAC 地 址 、VLAN 优先 级 、 二 层 协 议 类 型 等 二 层 信 息 
进行 过 滤 。 

(5) 用 户 自 定义 ACL: 以 数据 包 的 头 部 为 基准 ,指定 从 第 几 个 字 节 开始 进行 “与 ” 运 
算 , 将 从 报 文 中 提取 的 字符 串 和 用 户 定义 的 字符 串 进行 比较 ,找到 匹配 报 文 ,以 达到 过 滤 
的 目的 。 

下 一 代 防 火 墙 拥 有 细 粒 度 的 访问 控制 ,可 通过 多 个 维度 进行 精细 化 管控 。 使 用 下 一 
代 防 火 墙 可 以 看 到 分 散 隐藏 在 应 用 中 的 各 种 潜在 威胁 ,能 够 全 面 掌握 威胁 的 构成 ,并 且 可 
以 采用 访问 控制 手段 进行 有 效 控制 ,减少 网 络 中 的 安全 威胁 ,同时 将 大 幅 节省 用 户 财 力 和 
人 力 的 投入 。 

在 防火 墙 中 配置 访问 控制 策略 ,可 以 监测 流 经 设备 的 每 个 数据 包 。 默 认 情况 下 ,设备 
中 没有 配置 任何 访问 控制 策略 ,设备 将 转发 接收 到 的 所 有 合法 数据 包 。 如 果 在 某 接 口 配 
置 了 访问 控制 策略 , 当 数 据 包 到 达 此 接口 后 , 它 会 取出 此 数据 包 , 对 其 进行 分 析 , 并 从 策略 
表 的 顶端 从 上 至 下 搜索 策略 表 , 查 看 是 否 有 匹配 的 策略 。 如 果 找 到 匹配 的 策略 , 则 执行 其 
定义 的 动作 一 一 转发 或 丢弃 ,并 且 不 再 继续 比较 其 余 的 策略 ;如 果 与 所 有 的 策略 都 不 匹 
配 , 出 于 安全 的 考虑 ,设备 将 丢弃 这 个 数据 包 。 


4.2.1 行为 管控 


从 信息 流 的 方向 来 看 ,企业 网 络 中 跨 安 全 域 的 流量 无 外 乎 内 网 访问 互联 网 的 流量 以 

及 互联 网 访问 内 网 的 流量 ,而 在 这 两 个 方向 上 却 蕴藏 着 大 量 信 息 安全 的 威胁 。 例 如 ,员工 

利用 企业 网 络 发 送 涉 密 信息 在 工作 时 间 访 问 与 工作 无 关 的 应 用 ,访问 含有 敏感 或 不 安全 

内 容 的 网 页 .发 送 违法 信息 等 行为 ,都 会 给 企业 带 来 直接 的 经 济 损失 、 恶 劣 的 社会 影响 其 
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单个 参量 异常 并 不 能 构成 异常 行为 。 下 一 代 防 火 墙 会 将 不 同 参 量 随 时 间 推 移 而 产生 
的 网 络 异常 关联 起 来 ,以 确定 是 否 能 够 构成 异常 行为 ,被 判定 为 异常 行为 后 会 触发 异常 行 
为 预警 。 虽 然 单个 异常 行为 可 能 只 表明 一 些 随机 的 攻击 企图 ,基于 这 些 检测 的 预警 可 能 
被 认为 是 误 报 ,但 基于 一 组 相关 事件 的 检测 就 有 更 高 的 确定 性 ,可 以 被 认为 是 潜在 的 未 知 
威胁 。 

下 一 代 防 火 墙 基于 应 用 层 构 造 安 全 ,利用 应 用 层 过 滤 技 术 扩展 模块 实现 了 关键 字 过 
滤 功 能 以 及 应 用 层 网 络 协议 识别 管理 , 既 可 以 防御 网 络 攻击 ,又 可 以 实现 多 层次 网 络 访问 
控制 ,从 而 起 到 规范 用 户 上 网 行为 的 作用 。 行 为 管控 如 图 4-5 所 示 。 


上 网 行为 管理 


< 二- 国 


AP 
(ES 全 * [ED > 
| 
局 域 网 
图 4-5 行为 管控 


使 用 下 一 代 防 火 墙 行为 管控 功能 可 以 实现 以 下 目标 : 有 效 防止 非法 信息 恶意 传播 ， 
并 可 实时 监控 ,管理 网 络 资源 使 用 情况 ,提高 整体 工作 效率 ;支持 对 网 络 异常 的 监控 报警 
功能 ;可 以 对 用 户 访问 的 网 页 进行 精确 分 类 ,并 可 以 根据 管理 需求 对 不 良 网 站 进行 过 滤 封 
堵 ; 支 持 基 于 网 站 类 别 .URL 关键 字 、 文 件 类 型 等 多 种 条 件 的 灵活 管理 ,能 够 对 用 户 访 问 
的 网 页 内 容 进行 阻 断 、 记 录 以 及 网 页 快照 保存 等 管理 操作 ;支持 对 各 种 互联 网 应 用 协议 进 
行 精确 识别 ;对 违规 ,有害 的 应 用 进行 记录 并 封 堵 。 


4.2.2 ”关键 字 过 滤 


关键 字 过 滤 指 对 网 络 应 用 传输 的 信息 进行 预先 的 程序 过 滤 , 嗅 探 指定 的 关键 字 词 ,并 
进行 智能 识别 ,检查 网 络 应 用 中 是 否 有 违反 指定 策略 的 行为 。 类 似 于 IDS(Intrusion De- 
tection System, 人 侵 检 测 系 统 ) 的 过 滤 管 理 , 关 键 字 过 滤 机 制 是 主动 的 ,通常 对 包含 关键 
词 的 信息 进行 阻 断 连接 、 取 消 或 延 后 显示 、 替 换 、 人 工 干 预 等 处 理 。 

传统 的 防火 墙 主要 是 包 过 滤 防 火 墙 ,实现 的 是 网 络 层 控制 。 它 截获 网 络 中 的 数据 包 ， 
根据 协议 进行 解析 ,最 后 利用 包头 的 关键 字段 和 预 设 的 过 滤 规 则 做 对 比 ,决定 是 否 转发 该 
数据 包 。 随 着 应 用 层 各 种 应 用 的 不 断 丰 富 , 越 来 越 多 的 应 用 层 协议 随 之 出 现 , 传 统 防 火 墙 
已 经 无 法 满足 过 滤 的 需求 。 

下 一 代 防 火 墙 的 关键 字 过 滤 功 能 是 从 应 用 层 进行 控制 的 ,可 以 对 数据 包 进 行 更 深层 
次 的 检查 和 过 滤 。 下 一 代 防 火 墙 从 以 下 几 方 面 进行 细 粒 度 的 关键 字 过 滤 : 
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(1) 下 一 代 防 火 墙 是 基于 数据 流 的 ,而 不 仅 是 报 文 识别 ,可 以 防止 报 文 分 层 、 分 片 等 
躲避 方式 的 干扰 ,准确 识别 出 需要 检查 的 数据 流 。 

(2) 下 一 代 防 火 墙 可 以 准确 识别 出 真正 的 文件 类 型 ,进而 对 文件 内 容 进行 过 滤 。 

(3) 下 一 代 防 火 墙 支持 多 层 解 压 后 的 文件 类 型 识别 和 内 容 过 滤 , 防 止 利用 压缩 方式 
躲避 安全 检测 。 它 支持 对 多 种 文件 类 型 和 协议 类 型 进行 内 容 检查 。 

(4) 下 一 代 防 火 墙 支持 对 邮件 .HTTP、FTP、IM、SNS 等 传输 的 文件 和 文本 内 容 进 
行 识 别 过 滤 , 并 能 准确 识别 Word、Excel、PPT、PDF 等 企业 经 常用 来 存储 信息 的 文件 
类 型 。 


4.2.3 内容 过 滤 


随 着 网 络 技术 的 发 展 ,内 容 安 全 问题 已 经 成 为 首要 威胁 。 其 中 通过 正常 的 网 站 访问 、 
邮件 收发 .P2P 下 载 . 即 时 通信 .论坛 .在线 视频 等 业务 给 组 织 网 络 带 来 的 安全 风险 ,敏感 
信息 外 泄 等 网 络 安全 事件 呈 和 急剧 上 升 的 态势 。 而 且 随 着 互联 网 应 用 的 深入 , 越 来 越 多 的 
网 络 安全 事件 发 生 在 应 用 层 和 内 容 层 。 

下 一 代 防 火 墙 可 对 网 络 传输 中 的 网 页 搜索 .文件 传输 .邮件 收发 .论坛 .服务 器 操作 、 
即时 通信 等 应 用 的 深层 内 容 信 息 进 行 关 键 字 过 滤 ,并 可 根据 用 户 需求 ,对 匹配 关键 字 的 应 
用 数据 包 进 行 检测 、 阻 断 、 告 警 .记录 和 信息 还 原 , 从 而 实现 对 内 容 的 深度 安全 管理 ,避免 
用 户 机 要 信息 、 重 要 文件 的 外 泄 以 及 非法 言论 的 传播 等 。 下 一 代 防 火 墙 通过 内 置 及 用 户 
自 定义 的 敏感 信息 特征 库 , 并 结合 灵活 的 自 定义 策略 规则 ,实现 信息 泄露 防御 。 

下 一 代 防 火 墙 内 容 过 滤 是 分 析 应 用 层 的 内 容 , 将 危险 .有 害 的 内 容 过 滤 掉 。 防 火 墙 在 
应 用 层 执行 的 过 滤 对 于 网 络 是 透明 的 , 它 对 应 用 层 内 容 的 分 析 并 不 影响 网 络 的 配置 ,应 用 
层 以 下 的 各 个 协议 层 不 能 察觉 它 的 存在 。 

内 容 过 滤 能 够 对 用 户 上 传 和 下 载 的 文件 内 容 中 包含 的 关键 字 进 行 过 滤 。 这 里 的 文件 
可 以 是 Word 文档 (DOC 文件 ) 的 内 容 ,也 可 以 是 用 户 发 帖 ,发 布 微 博 的 HTML 文件 
内 容 。 

如 图 4-6 所 示 ,通过 下 一 代 防 火 墙 的 内 容 过 滤 功能 .公司 可 以 对 内 网 用 户 对 外 发 送 的 
文档 或 邮件 内 容 进 行 过 滤 ,阻止 内 网 用 户 发 送 包含 公 司机 密 信息 的 文档 或 邮件 ;还 可 以 对 
内 网 用 户 发 布 的 微 博 和 帖子 内 容 进行 过 滤 , 阻 止 内 网 用 户 发 布 包含 公司 机 密 信息 的 微 博 
和 帖子 。 另 外 ,通过 内 容 过 滤 功 能 ,还 可 以 对 外 网 用 户 从 内 网 服务 器 下 载 的 文件 内 容 进 行 
过 滤 , 防 止 黑客 窃取 包含 公司 机 密 信息 的 文件 。 

内 容 过 滤 还 可 以 降低 因 员工 浏览 发布、 传播 违规 信息 而 给 公司 带 来 的 法 律 风险 。 具 
体 做 法 是 在 内 网 用 户 的 下 载 方向 及 服务 器 的 上 传 方向 过 滤 掉包 含 敏感 信息 等 违规 内 容 的 
文件 。 另 外 ,内 容 过 滤 还 能 够 阻止 员工 浏览 .下 载 与 工作 无 关 的 内 容 , 提 高 工作 效率 。 


4.2.4 文件 过 滤 


下 一 代 防 火 墙 不 仅 能 根据 文件 类 型 进行 过 滤 ,还 能 对 某 些 特定 文件 的 内 容 进行 深入 
过 滤 ,以 降低 信息 泄密 的 风险 。 
文件 过 滤 能 够 识别 出 通过 下 一 代 防 火 墙 的 文件 的 真实 类 型 ,并 可 以 根据 文件 的 真实 
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图 4-6 内容 过 滤 


类 型 对 文件 进行 过 滤 。 文 件 过滤 同 时 也 能 够 识别 出 文件 的 扩展 名 。 当 文件 的 真实 类 型 无 
法 识别 时 ,下 一 代 防 火 墙 还 可 以 根据 文件 的 扩展 名 对 文件 进行 过 滤 。 如 图 4-7 所 示 ,内 部 
员工 上 传 包含 机 密 的 文档 到 外 网 或 者 黑客 从 内 网 服务 器 窃取 机 密 文 档 ,都 会 导致 公司 机 
密 或 用 户 信 息 的 泄露 。 通 过 文件 过 滤 功 能 阻止 内 网 用 户 上 传 文档 和 压缩 文件 到 外 网 ,以 
及 阻止 外 网 用 户 从 内 网 服务 器 下 载 文 档 和 压缩 文件 ,可 以 大 大 降低 机 密 信息 泄露 的 风险 。 
文件 过 滤 功 能 还 可 以 降低 病毒 文件 进入 公司 内 部 网 络 的 风险 。 因 为 病毒 常常 包含 在 可 执 
行文 件 中 , 且 病 毒 的 反 检 测 和 渗透 防火 墙 的 能 力 越 来 越 强 ,所 以 阻止 内 网 用 户 从 外 网 下 载 
可 执行 文件 或 阻 断 外 网 用 户 上 传 可 执行 文件 到 内 网 服务 器 ,可 以 大 大 降低 病毒 进入 内 网 


的 风险 。 


内 网 服务 器 


公司 员工 Ee 一 
LJ 


[_ 
受信 域 机密 


4-7 文件 过 滤 
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文件 过 滤 功 能 还 能 够 阻止 占用 带宽 和 影响 员工 工作 效率 的 文件 传输 。 因 为 公司 员工 
下 载 大 量 与 工作 无 关 的 视频 和 图 片 文 件 ,会 占用 公司 网 络 带宽 ,降低 工作 效率 。 文 件 过 滤 
功能 可 以 阻止 内 网 用 户 从 外 网 下 载 视频 .图片 和 压缩 文件 ,可 以 保证 正常 业务 的 带宽 和 员 
工 的 工作 效率 。 

文件 过 滤 针 对 文件 类 型 进行 过 滤 ,也 就 是 会 整体 过 滤 某 种 类 型 的 文件 。 然 而 在 实际 
应 用 中 ,整体 过 滤 某 种 文件 虽然 可 以 降低 泄密 风险 ,但 也 会 妨碍 正常 的 工作 和 生活 ,所 以 
需要 配合 内 容 过 滤 功 能 ,以 便 更 精细 地 识别 和 过 滤 文 件 的 内 容 。 其 工作 过 程 如 图 4-8 
所 示 。 

文件 类 型 识别 模块 负责 根据 文件 数据 识别 出 文件 的 真实 类 型 和 文件 的 后 级 名 ,并 进 
行文 件 类 型 异常 检测 。 文 件 过 滤 模 块 将 已 经 识别 出 的 文件 的 应 用 类 型 .文件 类 型 .传输 方 
向 与 管理 员 配 置 的 文件 类 型 过 滤 规 则 查询 表 进 行 从 上 到 下 的 匹配 。 如 果 文件 的 所 有 参数 
都 能 够 匹配 一 条 文件 过 滤 规 则 ,那么 模块 将 执行 此 文件 过 滤 规 则 的 动作 ;如 果 未 匹配 到 任 
何 一 条 文件 过 滤 规则 ,那么 文件 过 滤 模 块 允许 此 文件 通过 。 

文件 过 滤 的 动作 有 两 种 : 阻 断 和 告警 。 如 果 动 作为 “ 阻 断 ”, 则 文件 过 滤 模 块 会 记录 
日 志 , 并 阻 断 文件 的 传输 , 阻 断 的 文件 将 不 会 再 进行 内 容 过 滤 检测 。 如 果 动 作为 “告警 ”， 
则 文件 过 滤 模 块 会 记录 日 志 ,并 允许 文件 通过 。 文 件 过 滤 人 允许 通过 的 文件 ,如 果 有 需要 ， 
还 会 继续 进行 内 容 过 滤 检测 。 


4.2.5 邮件 过 滤 


电子 邮件 这 一 传统 的 通信 方式 似乎 越 来 越 小 众 化 ,但 是 对 于 企业 来 说 ,邮件 仍然 是 工 
作 中 不 可 或 缺 的 沟通 手段 ,很 多 企业 也 都 部 署 了 邮件 服务 器 ,通过 邮件 开展 业务 。 企 业 通 
过 邮件 开展 业务 的 同时 ,也 会 遇 到 垃圾 邮件 ,机 密 信息 也 可 能 会 通过 邮件 泄露 。 所 以 ,为 
了 保证 信息 安全 ,企业 需要 对 发 送 和 接收 邮件 的 行为 进行 管控 。 

下 一 代 防 火 墙 提供 了 邮件 过 滤 特 性 ,具有 垃圾 邮件 过 滤 和 邮件 内 容 过 滤 功能 。 

垃圾 邮件 指 的 是 未 经 用 户 许可 ,强行 发 送 到 用 户 邮 箱 的 电子 邮件 ,内 容 一 般 是 广告 等 
内 容 ,甚至 带 有 病毒 程序 。 大 量 的 垃圾 邮件 不 但 消耗 网 络 带宽 ,占用 邮箱 空间 ,还 带 来 了 
安全 隐患 。 下 一 代 防 火 墙 使 用 RBL(Real-time Blackhole List, 实 时 黑 名 单列 表 ) 技 术 来 
过 滤 垃 圾 邮件 ,通过 获取 邮件 发 送 方 SMTP 服务 器 的 IP 地 址 ,向 RBL 服务 器 发 起 查询 。 
RBL 服务 器 维护 着 实时 黑 名 单列 表 , 列 表 中 的 SMTP 服务 器 都 发 送 过 垃圾 邮件 ,下 一 代 
防火 墙根 据 RBL 服务 器 的 返回 结果 判断 该 IP 地 址 是 否 属于 垃圾 邮件 服务 器 ,进而 采取 
相应 的 处 理 动作 。 垃 圾 邮件 过 滤 的 过 程 需要 下 一 代 防 火 墙 .DNS 服务 器 和 RBL 服务 器 
三 者 协同 工作 ,如 图 4-9 所 示 。 

一 个 完整 的 垃圾 邮件 过 滤 过 程 如 下 : 

(1) 发 件 人 通过 邮件 服务 器 向 企业 邮件 服务 器 发 起 SMTP 连接 。 

(2) 下 一 代 防 火 墙 解析 出 SMTP 请 求 中 发 送 方 邮件 服务 器 的 IP 地 址 ,并 将 此 IP 地 
址 反 转 后 和 RBL 服务 器 名 称 一 起 组 合成 一 个 “域名 ” ,向 DNS 服务 器 发 起 查询 。 

(3) DNS 服务 器 从 查询 报 文中 读 取 RBL 服务 器 名 称 , 解 析出 RBL 服务 器 的 IP 地 
址 ,并 将 查询 请 求 转发 给 RBL 服务 器 。 

78 


防火 墙 安 全 功能 应 用 mm 


eo 第 4 章 


王 蕊 动工 黑 卫 村民 ”8- 了 图 


79 


一 午 国 国 一 
杰 闯 凡 蜀 


Mi9N Ee 
二 重 凡 尊 亿 | | 
x | 
牛首 由 古国 
答 苹 出 丽 
| 
三 焉 Eyne dy.) | I 泛 硬 条 拷 关 加 | 山越 闪失 加 ) 
有 Ei 
骂 吉 所 关 办 
| 加 丰美 出 允 
太 < 
弟 中 束 六 办 ET 
[sk 晶 到 相国 i Eu 


+ 


me 防火 墙 技术 及 应 用 mw 


RBL 服 务 器 DNS 服务 器 


辆 立 


送 方 
”发 送 方 邮件 服务 器 企业 邮件 服务 器 
图 4-9 垃圾 邮件 过 滤 


邮件 发 


(4) RBL 服务 器 在 指定 的 区 域 中 查询 发 送 方 邮 件 服务 器 的 IP 地 址 ,并 将 查询 结果 返 
回 给 DNS 服务 器 。 如 果 此 IP 地 址 在 RBL 中 , 则 返回 应 答 码 ;否则 返回 NXDOMAIN。 

(5) DNS 服务 器 将 查询 结果 转发 给 下 一 代 防 火 墙 。 

(6) 下 一 代 防 火 墙根 据 查询 结果 处 理 SMTP 请 求 : 如 果 RBL 服务 器 返回 应 答 码 , 则 
该 邮件 被 视 为 垃圾 邮件 ,下 一 代 防 火 墙根 据 管理 员 预 先 设置 的 响应 动作 ,转发 SMTP 连 
接 请 求 并 记录 日 志 或 者 阻 断 SMTP 连接 ;如 果 RBL 服务 器 返回 NXDOMAIN ,下 一 代 防 
火 墙 转发 SMTP 连接 请 求 ; 如 果 RBL 查询 超时 ,下 一 代 防 火 墙 转发 SMTP 连接 请 求 。 

邮件 内 容 过 滤 主 要 包括 两 个 部 分 : 邮箱 地 址 检查 和 邮件 附件 控制 。 邮 箱 地 址 检查 
根据 邮件 的 发 件 人 和 收 件 人 邮箱 地 址 来 过 滤 邮 件 ,其 中 ,匿名 邮件 检测 用 来 阻 断 发 件 
人 为 空 的 邮件 ;邮件 附件 控制 通过 限制 邮件 所 携带 的 附件 数量 和 每 个 附件 的 大 小 来 过 
滤 邮 件 。 

邮箱 地 址 检查 指 的 是 下 一 代 防 火 墙 以 代理 方式 检测 SMTP、POP3 和 IMAP 协议 中 
的 关键 命令 ,从 中 提取 发 件 人 和 收 件 人 的 邮箱 地 址 ,根据 邮箱 地 址 对 邮件 采取 相应 的 动 
作 。 下 一 代 防 火 墙 支持 的 动作 包括 允许 和 阻 断 。 

SMTP 协议 主要 用 于 客户 端 向 邮件 服务 器 或 者 一 个 邮件 服务 器 向 另 一 个 邮件 服务 
器 发 送 邮件 ,POP3 和 IMAP 协议 主要 用 于 客户 端 从 邮件 服务 器 接收 邮件 。 与 此 对 应 ,下 
一 代 防 火 墙 根据 发 送 邮 件 和 接收 邮件 来 对 邮箱 地 址 进行 检查 ,其 本 质 是 对 邮件 协议 中 关 
键 命令 的 检测 。 控 制 发 送 邮件 针对 的 是 SMTP 协议 ,控制 接收 邮件 针对 的 是 POP3 和 
IMAP 协议 。 

用 户 发 送 邮件 时 可 以 携带 附件 ,大 量 的 附件 不 但 占用 带宽 ,还 存在 信息 泄露 的 风险 。 
对 此 ,下 一 代 防 火 墙 提供 了 邮件 附件 控制 功能 ,可 以 控制 邮件 中 所 携带 的 附件 的 数量 和 每 
个 附件 的 大 小 ,从 而 控制 带宽 占用 ,并 在 一 定 程 度 上 避免 大 量 信息 通过 邮件 泄露 出 去 。 

企业 管理 员 可 以 对 发 送 方向 和 接收 方向 分 别 设置 附件 个 数 限制 和 附件 大 小 限制 。 甚 
中 ,附件 大 小 限制 是 针对 邮件 中 的 每 一 个 附件 而 言 的 ,只 要 有 一 个 附件 超过 阔 值 ,此 邮件 
就 按照 指定 的 处 理 动 作 处 理 。 

下 一 代 防 火 墙 支持 针对 邮件 的 标题 .正文 .附件 名 称 对 邮件 进行 精细 化 的 过 滤 。 邮 件 
内 容 过 滤 具 体 的 实现 过 程 如 图 4-10 所 示 。 

(1) 对 发 件 人 的 邮箱 地 址 和 邮件 内 容 进 行 检查 ,阻止 外 网 的 恶意 用 户 向 企业 内 网 发 
送 邮 件 。 
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发 送 方 邮 件 服务 器 
图 4-10 邮件 内 容 过 滤 


(2) 对 发 件 人 的 邮箱 地 址 和 邮件 内 容 进行 检查 ,阻止 特定 的 企业 内 网 用 户 向 外 发 送 
邮件 。 


4.2.6 ”URL 过 滤 


统一 资源 定位 符 (Uniform Resource Locator, URL) 是 对 可 以 从 互联 网 上 得 到 的 资 
源 的 位 置 和 访问 方法 的 一 种 简洁 的 表示 ,是 互联 网 上 标准 资源 的 地 址 。 互 联网 上 的 每 
个 文件 都 有 一 个 唯一 的 URL, 它 包含 的 信息 指出 文件 的 位 置 以 及 浏览 器 应 该 怎么 处 
理 它 。 

URL 在 带 来 便利 的 同时 也 带 来 了 威胁 。 当 用 户 无 意 间 访问 非法 或 恶意 网 站 时 ,会 汇 
露 机 密 信息 ,甚至 会 带 来 病毒 .木马 等 威胁 攻击 。 解 决 上 述 问 题 最 有 效 的 方法 就 是 阻 断 有 
害 的 URL。 为 此 ,下 一 代 防 火 墙 提供 了 URL 过 滤 功 能 ,限制 用 户 可 访问 的 网 站 或 网 页 资 
源 ,达到 规范 上 网 行为 的 目的 。URL 是 一 串 或 长 或 短 的 字符 串 ,由 几 部 分 字段 组 成 ,下 一 
代 防 火 墙 在 对 URL 进行 过 滤 时 ,就 是 对 这 一 串 字 符 串 进行 检查 和 匹配 。 

一 个 典型 的 URL 如 图 4-11 所 示 。 


Protocol Host Path Parameter 


http://www.example.com/news/index.html?cat=1&id=2 


图 4-11 典型 的 URL 


其 中 ,每 个 字段 的 含义 如 下 : 

Protocol 字段 表示 协议 ,通常 为 HTTP 或 HTTPS, 下 一 代 防 火 墙 支持 对 这 两 种 协议 
进行 URL 过 滤 。 

Host 字段 表示 Web 服务 器 的 域名 或 IP 地 址 。 如 果 Web 服务 器 使 用 非 标 准 端口 ， 
则 Host 字段 还 应 包含 端口 号 。 

Path 字段 表示 Web 服务 器 上 的 目录 或 文件 名 ,各 目录 名 和 文件 名 之 间 以 斜 线 “/” 
隔 开 。 

Parameter 字段 表示 传递 给 网 页 的 参数 ,通常 用 于 从 数据 库 中 动态 查询 数据 。 

上 述 4 个 字段 组 成 了 一 个 完整 的 URL。 下 一 代 防 火 墙 在 对 URL 进行 过 滤 时 ,就 是 
对 这 一 串 字符 串 进 行 检 查 和 匹配 。 通 常情 况 下 ,Parameter 字段 的 取 值 情况 比较 复杂 , 针 
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对 该 字段 进行 过 滤 的 管理 成 本 很 高 ,所 以 一 般 只 针对 Host 和 Path 字段 进行 过 滤 。 

Internet 上 存在 海量 的 网 址 ,为 了 精确 定义 这 些 网 址 并 按 需 过 滤 ,下 一 代 防 火 墙 采 用 
了 分 类 措施 ,将 海量 的 网 址 归属 到 不 同 的 类 型 中 ,实现 基于 分 类 的 URL 过 滤 。 下 一 代 防 
火 墙 收 到 用 户 访 问 网 站 的 请 求 时 ,在 预定 义 分 类 中 查询 用 户 所 访问 的 URL 的 分 类 ,并 根 
据 分 类 采取 不 同 的 动作 。 

除了 基于 分 类 的 URL 过 滤 ,下 一 代 防 火 墙 还 提供 基于 黑白 名 单 的 URL 过 滤 ,方便 
管理 员 进 行 管理 。 基 于 黑白 名 单 的 URL 过 滤 是 基于 分 类 的 URL 过 滤 的 一 个 补充 。 下 
一 代 防 火 墙 对 URL 黑白 名 单 的 处 理 更 加 简单 直接 : 命中 URL 黑 名 单 的 请 求 被 阻 断 , 命 
中 URL 白 名 单 的 请 求 被 放行 。 

基于 分 类 的 URL 过 滤 和 基于 黑白 名 单 的 URL 过 滤 的 整体 处 理 流 程 如 图 4-12 所 示 。 


企业 用 户 ~ Web 服 务 器 


了 匹配 放行 连接 请 求 


匹配 : 阻 断 请 求 


由 配 + 阻 岂 : 阻 断 请 求 


匹配 + 人 允许， 放行 连接 请 求 
匹配 * 告 警 : 放行 连接 请 求 * 记 录 日 志 


图 4-12 URL 过 滤 的 整体 处 理 流 程 


下 一 代 防 火 墙 支持 对 HTTP 和 HTTPS 进行 URL 过 滤 。HTTP 中 的 数据 是 不 加 
密 的 ,下 一 代 防 火 墙 可 以 直接 提取 其 中 的 URL 信息 。 而 HTTPS 中 的 数据 是 加 密 的 ,下 
一 代 防 火 墙 必须 先 解 密 数 据 后 才能 获得 其 中 的 URL 信息 。 下 面 介 绍 针对 HTTPS 的 
URL 过 滤 。 

对 于 HTTP, 下 一 代 防 火 墙 可 以 很 容易 从 用 户 的 访问 请 求 中 提取 出 URL 信息 ,然后 
进行 URL 过 滤 处 理 。 但 是 ,对 于 HTTPS 来 说 ,URL 的 提取 就 没有 这 么 简单 了 。 当 用 户 
访问 使 用 HTTPS 的 网 站 时 ,用 户 先 和 网 站 建立 SSL 连接 ,然后 才 进 行 应 用 层 数 据 的 传 
输 。 而 且 , 应 用 层 数据 都 是 经 过 加 密 的 。 对 于 加 密 后 的 信息 ,下 一 代 防 火 墙 无 法 提取 
URL 信息 ,也 就 无 法 进行 URL 过 滤 处 理 。 此 时 下 一 代 防 火 墙 将 针对 HTTPS 进行 解密 ， 
然后 就 可 以 提取 其 中 的 URL 了 。 
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下 一 代 防 火 墙 通过 替换 证 书 来 建立 客户 端 与 下 一 代 防 火 墙 \ 下 一 代 防 火 墙 与 HTTPS 
服务 器 端的 两 个 SSL 连接 。 下 一 代 防 火 墙 以 代理 的 身份 发 挥 作用 ,对 客户 端 访问 
HTTPS 服 务 器 的 报 文 进行 解密 。 解 密 之 后 就 可 以 提取 URL 信息 ,进行 URL 过 滤 处 理 ， 
允许 通过 的 报 文 会 加 密 后 发 送 至 HTTPS 服务 器 。 


| 思 安全 认证 


保护 网 络 安全 ,内 控 与 外 防 同 样 重要 ,有 很 多 攻击 都 是 由 于 内 部 员工 蓄意 或 无 意 造 成 
的 。 内 控 的 主要 手段 就 是 对 内 部 员工 进行 权限 控制 和 行为 审计 ,杜绝 非法 操作 。 由 于 IP 
地 址 动态 变化 ,传统 防火 墙 以 IP 地 址 作为 管控 对 象 已 经 无 法 满足 精细 化 管控 的 需求 ,应 
改 为 根据 用 户 账号 来 进行 管控 。 下 一 代 防 火 墙 支持 通过 多 种 认证 方式 获取 用 户 信息 ,并 
基于 用 户 配 置 安 全 策略 .审计 策略 等 安全 功能 实现 管控 。 

为 了 保证 防火 墙 用 户 的 合法 性 ,提升 访问 的 安全 性 ,下 一 代 防 火 墙 具有 安全 认证 功 
能 。 在 接 人 认证 的 基础 上 ,对 不 同 的 用 户 可 以 赋予 不 同 的 权限 ,采取 不 同 的 安全 管控 
策略 。 

下 一 代 防 火 墙 具 有 多 种 安全 认证 方式 ,全 面 兼容 集成 第 三 方 认证 及 单 点 登录 支持 
AD、LDAP、RADIUS 等 第 三 方 认证 服务 ,可 提升 各 种 访问 的 安全 性 。 下 一 代 防 火 墙 的 认 
证 服务 器 主要 提供 用 户 认证 中 的 认证 服务 器 配置 ,支持 AD、LDAP、RADIUS 以 及 本 地 
认证 。 


4.3.1 本 地 用 户 认 证 


本 地 认证 是 使 用 防火 墙 的 本 地 认证 服务 器 进行 认证 ,即使 计算 机 脱离 网 络 ,也 同样 可 
以 认证 ,一 般 认证 方式 为 根据 计算 机 硬件 特征 结合 算法 计算 一 个 或 多 个 只 属于 该 计算 机 
的 序列 号 或 授权 文件 。 本 地 认证 是 将 用 户 信息 ,包括 本 地 用 户 的 用 户 名 、 密 码 和 各 种 属 
性 ,配置 在 本 地 认证 服务 器 上 。 本 地 认证 的 优点 是 速度 快 ,可 以 降低 运营 成 本 。 

下 一 代 防 火 墙 本 地 认证 服务 器 中 保存 了 防火 墙 用 户 的 用 户 名 、 密 码 以 及 权限 信息 。 
用 户 使 用 在 下 一 代 防 火 墙 中 设置 的 登录 名 和 密码 进行 登录 时 ,防火 墙 通过 本 地 服务 器 上 
的 数据 对 用 户 进行 认证 处 理 。 


4.3.2 AD 用 户 认证 


AD(Active Directory ,活动 目录 ) 是 微软 公司 Windows Server 中 负责 中 大 型 网 络 环 

境 架 构 的 集中 式 目录 管理 服务 (Directory Service) , 它 处 理 在 组 织 中 的 网 络 对 象 , 只 要 是 

在 活动 目录 结构 定义 文件 中 定义 的 对 象 , 就 可 以 存储 在 活动 目录 数据 文件 中 ,并 利用 活动 

目录 Service Interface 来 访问 ,许多 活动 目录 的 管理 工具 都 是 利用 这 个 接口 来 调用 并 使 
用 活动 目录 的 数据 。 

下 一 代 防 火 墙 支持 与 AD 服务 器 进行 联动 ,将 AD 服务 器 中 的 用 户 列表 同步 到 防火 
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墙 上 ,在 配置 服务 器 界面 ,可 以 配置 防火 墙 需要 联动 的 AD 服务 器 的 信息 。 

用 户 在 未 部 署 下 一 代 防 火 墙 之 前 已 经 部 署 了 AD 域 控制 器 对 账号 进行 集中 管理 。 部 
署 下 一 代 防 火 墙 之 后 ,将 下 一 代 防 火 墙 和 AD 服务 器 进行 联动 ,用 户 使 用 AD 域 账号 即 可 
进行 身份 认证 。AD 用 户 认证 过 程 如 图 4-13 所 示 。 


AD 服务 器 
10.2.0.155 


受信 域 非 受 信 域 
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图 4-13 AD 用 户 认证 过 程 


在 尝试 登录 防火 墙 时 ,用 户 使 用 已 有 认证 系统 的 接 入 方式 ,感知 不 到 防火 墙 的 认证 。 
使 用 此 种 方法 ,下 一 代 防 火 墙 间接 获取 用 户 上 线 信 息 ,不 参与 认证 。 


4.3.3 LDAP 用 户 认证 


LDAP(Lightweight Directory Access Protocol, 轻 量 目录 访问 协议 ) 是 防火 墙 远程 认 
证 的 一 种 方式 。 当 启用 LDAP 认证 后 ,用 户 上 网 前 需要 出 示 账 号 和 密码 ,防火 墙 将 此 信 
息 传递 给 认证 服务 器 ,用 户 通过 认证 后 ,防火 墙 允许 该 用 户 访问 互联 网 。 

LDAP 是 一 种 基于 TCP/IP 的 目录 访问 协议 ,主要 应 用 于 存储 不 经 常 改变 的 数据 。 

提供 LDAP 目录 服务 的 服务 器 就 是 LDAP 服务 器 。 下 一 代 防 火 墙 与 LDAP 服务 器 
对 接 主要 用 于 用 户 认 证 ,LDAP 认证 就 是 把 用 户 数据 放 在 LDAP 服务 器 上 ,通过 LDAP 
搭建 的 认证 方式 ,使 用 HTTPS 加 密 传 输 用 户 登 录 信息 ,通过 LDAP 服务 器 上 的 数据 对 
用 户 进行 认证 处 理 。LDAP 认证 过 程 如 图 4-14 所 示 。 


LDAP 服 务 器 
10.2.0.155 
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4-14 LDAP 认证 过 程 
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4.3.4 RADIUS 用 户 认 证 


RADIUS(Remote Authentication Dial In User Service ,远程 认证 拨号 用 户 服 务 ) 是 
一 个 分 布 式 客户 /服务 器 协议 , 它 能 够 使 网 络 不 受 非法 访问 流量 的 侵扰 。RADIUS 协议 
起 初 是 一 个 访问 服务 器 认证 和 审计 协议 ,后 来 RADIUS 协议 得 到 了 广泛 的 认可 ,诸多 厂 
商 的 设备 都 对 其 提供 了 支持 ,拥有 良好 的 客户 基础 ,因而 获得 了 广泛 的 支持 。 

RADIUS 主要 针对 的 远程 登录 类 型 有 SLIP、PPP、Telnet 和 rlogin 等 。RADIUS 协 
议 应 用 范围 很 广 ,包括 普通 电话 、 上 网 业务 计 费 等 。 它 对 VPN 的 支持 可 以 使 不 同 拨 入 服 
务 器 的 用 户 具有 不 同 权限 。 

RADIUS 采用 C/S 架构 ,用 户 数据 存储 在 RADIUS 服务 器 上 ,由 服务 器 对 客户 端 进 
行 统一 管理 ,认证 ,授权 、 计 费 。 

RADIUS 需要 用 客户 /服务 器 模式 来 实施 ,而 客户 端 可 以 是 任何 网 络 访问 服务 器 
(NAS) ,包括 下 一 代 防 火 墙 ,而 用 户 访问 信息 的 配置 文件 就 保存 在 这 台 服 务 器 中 。 它 可 
以 将 认证 请 求 发 送 给 中 心服 务 器 。 

在 使 用 下 一 代 防 火 墙 RADIUS 用 户 认 证 功能 时 ,运行 在 防火 墙 上 的 RADIUS 客户 
端 发 送 认 证 请 求 到 中 心 RADIUS 服务 器 ,服务 器 上 包含 了 所 有 用 户 认 证 和 网 络 服务 访问 
的 信息 ,通过 RADIUS 服务 器 上 的 数据 对 用 户 进 行 认证 处 理 。RADIUS 认证 过 程 如 图 4-15 
所 示 。 


RADIUS 服 务 器 
10.2.0.155 


受信 域 非 受 信 域 
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4-15 RADIUS 认证 过 程 


4.3.5 IEEE 802.1x 认证 


防火 墙 支持 IEEE 802. 1x 认证 功能 。IEEE 802. 1x 协议 是 基于 客户 /服务 器 的 访问 
控制 和 认证 协议 。 它 可 以 限制 未 经 授权 的 用 户 / 设 备 通过 接 人 端口 (access port) 访 问 内 
网 或 者 互联 网 。 在 获得 许可 之 前 ,IEEE 802. 1x 对 连接 到 防火 墙 接口 上 的 用 户 / 设 备 进行 
认证 。 在 认证 通过 之 前 ,IEEE 802. 1x 只 人 允许 EAPoL (Extensible Authentication Protocol 
over LAN ,基于 局 域 网 的 扩展 认证 协议 ) 数 据 通过 设备 连接 到 防火 墙 接口 ;在 认证 通过 以 
后 ,正常 的 数据 可 以 顺利 地 通过 防火 墙 的 接口 。 

在 IEEE 802. 1x 认证 列表 中 ,用 户 可 以 查看 IEEE 802. 1x 认证 接口 的 接 人 控制 方 
式 、 认 证 服务 器 ,状态 等 信息 。 
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4.4 攻击 防御 


防火 墙 的 基本 作用 是 保护 特定 网 络 免 遭 不 受信 任 网 络 的 攻击 。 攻 击 防御 功能 可 以 有 
效 过 滤 并 阻止 非 正常 报 文 或 攻击 报 文 流 入 内 网 ,与 传统 防火 墙 相 比 ,下 一 代 防 火 墙 提供 了 
更 加 灵活 、 可 调整 配置 及 全 面 的 攻击 防御 功能 ,包括 网 络 层 攻击 防御 功能 .应 用 层 攻击 防 
御 功 能 局域网 广播 防御 功能 .DHCP 防护 和 木马 专项 查 杀 功 能 ,这 些 攻 击 防御 功能 可 以 
过 滤 并 阻止 非 正常 报 文 或 攻击 报 文 流 入 内 网 ,保证 内 网 安全 。 一 旦 非 正常 报 文 或 攻击 报 
文 流 入 内 网 ,不仅 会 耗 尽 服务 器 的 资源 ,使 服务 器 无 法 正常 工作 ,还 会 影响 整个 网 络 ,引起 
网 络 拥塞 ,这 些 都 是 网 络 中 最 常见 .最 普遍 使 用 的 攻击 手段 。 

360 新 一 代 智 慧 防火 墙 的 攻击 防御 模块 通过 基于 安全 域 的 洪水 攻击 防御 、 恶 意 扫描 
防御 和 欺骗 防御 等 手段 对 网 络 进行 防御 ,将 SYN Flood ICMP Flood .UDP Flood 、IP 
Flood、Ping of Death、Teardrop、IP 选项 、TCP 异常 .Smurf、Fraggle、Land、Winnuke 等 
常见 攻击 行为 的 检测 集成 在 模块 中 ,使 用 户 通 过 启用 并 配置 攻击 防御 模块 即 可 有 效 地 过 
滤 并 阻止 非 正 常 报 文 流入 用 户 内 网 。 同 时 下 一 代 防 火 墙 对 HTTP、DNS、DHCP 协议 提 
供应 用 层 防 护 ,针对 局 域 网 多 播 、 广 播 、IP 地 址 欺骗 等 也 提供 了 专门 的 防御 。 

网 络 攻 击 多 建立 在 会 话 中 ,因此 在 介绍 各 种 攻击 之 前 , 先 介 绍 用 来 建立 会 话 的 三 次 握 
手 过 程 。 在 TCP/IP 协议 中 ,TCP 协议 提供 可 靠 的 连接 服务 ,在 双方 传输 数据 前 必须 在 
双方 间 建 立 一 条 连接 通道 ,这 个 过 程 就 是 TCP 三 次 握手 ,如 图 4-16 所 示 。 


客户 端 服务 器 
SYN 
三 次 握手 SYN+ACK 
ACK 
数据 传输 


图 4-16 TCP 三 次 握手 


(1) 第 一 次 握手 : 客户 端 向 服务 器 端 发 送 一 个 SYN(Synchronize) 报 文 ,指明 想 要 建 
立 连接 的 服务 器 端口 以 及 序列 号 (ISN)。 

(2) 第 二 次 握手 : 服务 器 在 收 到 客户 端的 SYN 报 文 后 ,返回 一 个 SYN 十 ACK 的 报 
文 ,表示 客户 端的 请 求 被 接受 ,同时 在 SYN 十 ACK 报 文中 将 确认 号 设置 为 客户 端的 ISN 
加 1。ACK 表示 确认 (Acknowledgment) 。 

(3) 第 三 次 握手 : 客户 端 收 到 服务 器 的 SYN 十 ACK 报 文 后 ,向 服务 器 发 送 ACK 报 
文 进行 确认 。ACK 报 文 发 送 完毕 ,三 次 握手 建立 成 功 。 
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4.4.1 恶意 扫描 防御 


攻击 者 的 入 侵 过 程 主要 包含 两 部 分 : 一 是 探测 和 边界 突破 两 个 环节 ;二 是 攻击 者 成 
功 进入 企业 内 网 后 ,通过 持续 的 渗透 ,安装 工具 ,横向 移动 ,最终 实施 数据 窃取 或 破坏 等 攻 
击 。 显 然 ,攻击 者 开启 和 人 侵 的 第 一 步 即 是 探测 ,也 可 理解 为 踩点 扫描 。 攻 击 者 需要 通过 各 
种 途径 对 攻击 目标 进行 多 方 了 解 , 利 用 扫描 工具 进行 端口 及 漏洞 扫描 ,查看 服务 器 的 运行 
状态 等 基本 信息 。 一 旦 发 现 漏洞 ,就 会 利用 其 进行 攻击 ,随后 进入 以 后 的 各 个 入 侵 环 节 ， 
最 终 达到 窃取 或 破坏 数据 的 目的 。 

因此 ,要 想 阻 止 攻击 者 攻击 ,就 可 以 通过 防 扫描 的 方式 从 源头 阻止 探测 ,让 企业 在 第 
一 时 间 发 现 威胁 , 阻 断 攻击 者 扫描 ,从 而 提升 攻击 者 攻击 的 门槛 ,提高 攻击 成 本 ,大 幅度 降 
低 攻击 者 入 侵 企业 内 网 的 风险 。 

传统 防火 墙 的 防 扫描 功能 是 通过 提取 数据 包 中 的 规则 来 实现 的 ,这 种 方法 是 一 种 单 
一 的 强 规则 判断 。 所 谓 强 规则 是 指 扫描 器 的 强 特征 ,例如 扫描 器 可 能 携带 其 特定 的 用 户 
代理 (User Agent,UA) ,这 个 特定 的 UA 就 是 强 特征 。 强 特征 的 优点 是 误 判 率 低 ,识别 
速度 快 。 但 是 它 也 有 很 大 的 缺点 ,就 是 随 着 扫描 器 版 本 的 升级 , 强 特征 会 越 来 越 少 ,后 续 
可 能 根本 无 法 识别 扫描 器 ,因此 产品 的 防 扫描 效果 也 将 大 打折 扣 。 

这 种 通过 强 规 则 判断 的 防御 手段 往往 是 被 动 的 ,存在 着 很 多 玻 漏 的 可 能 。 目 前 有 很 
多 防火 墙 产 品 忽视 了 这 种 问题 。 基 于 此 ,360 新 一 代 智 慧 防 火 墙 的 防 恶意 扫描 功能 在 设 
置 了 强 规则 判断 的 基础 上 ,还 加 入 了 弱 规 则 判断 ,实现 了 在 基于 数据 包 分 析 的 同时 ,也 会 
基于 行为 予以 联合 判决 。 

所 谓 弱 特征 就 是 所 有 扫描 器 都 具有 的 流量 行为 特征 ,包含 不 常见 的 方法 ,扫描 目录 频 
率 、HTTP 请 求 频率 、 被 拦截 的 SID(Security Identifier, 安 全 标识 符 ) 频 率 等 扫描 行为 特 
征 。 防 恶意 扫描 功能 通过 制定 强 特征 和 弱 特 征 进行 有 效 识 别 。 如 果 某 些 特征 匹配 强 特 
征 , 就 直接 予以 阻止 ;如 果 匹 配 弱 特 征 ,就 会 考察 其 他 弱 特 征 与 之 的 关联 程度 ,如 果 关 联 程 
度 高 ,就 会 形成 强 规则 予以 阻止 。 并 且 弱 特征 通过 流量 加 权 运 算 , 最 终 保 证 识别 效果 并 且 
降低 误 判 率 。 

360 新 一 代 智 慧 防火 墙 的 防 恶 意 扫描 功能 能 够 自动 识别 扫描 器 的 扫描 行为 ,智能 阻 
断 Nikto、Paros proxy、WebScarab 、Whisker、Libwhisker、Burpsuite、Wikto、Pangolin 、 
Watchfire AppScan、N-Stealth 等 多 种 扫描 器 的 扫描 行为 ,并 在 扫描 器 刚 开 始 息 取 网 站 的 
时 候 就 识别 扫描 行为 ,进行 阻 断 ,大 大 降低 了 扫描 器 发 现 漏洞 的 概率 ,阻止 了 未 知 威胁 的 
攻击 。 


4.4.2 欺骗 防御 


IP 欺骗 利用 了 IP 地 址 并 不 是 在 出 厂 的 时 候 与 MAC 固定 在 一 起 的 这 一 点 ,攻击 者 通 
过 自封 包 和 修改 网 络 节点 的 IP 地 址 ,冒充 某 个 可 信和 节点 的 IP 地 址 进行 攻击 。IP 欺骗 主 
要 有 以 下 3 种 后 果 : 
(1) 使 真正 拥有 IP 地 址 的 可 信 主 机 瘫痪 ,伪装 可 信和 主机 攻击 服务 器 。 
(2) 导致 中 间 人 攻击 。 
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(3) 导致 DNS 欺骗 和 会 话 劫持 。 

360 新 一 代 智 慧 防 火 墙 欺骗 防御 功能 提供 防 IP 欺骗 \,DHCP 监控 辅助 检查 。 

启用 防 IP 欺骗 功能 时 ,用 户 需要 单 击 * 配 置 IP 安全 域 关 联 ”, 将 安全 域 的 IP 地 址 段 
与 安全 域名 称 进行 关联 ,形成 IP 安全 域 关联 列表 。 当 关联 列表 中 的 IP 地 址 是 从 非 关 联 
的 安全 域 进 入 防火 墙 的 时 候 , 防 火 墙 会 对 其 访问 进行 阻 断 并 记录 日 志 。 

启用 DHCP 监控 辅助 检查 功能 后 ,防火 墙 会 对 接收 到 的 数据 包 中 的 源 IP 地 址 和 源 
MAC 地 址 的 对 应 关系 进行 检查 ,对 应 关系 检查 使 用 的 匹配 列表 是 根据 DHCP 监控 捕获 
的 IP 地址 与 MAC 地 址 的 对 应 关系 生成 的 。 

如 果 用 户 开 启 了 IP-MAC 地 址 绑 定 功能 , 则 该 功能 优先 于 DHCP 监控 辅助 检查 功 
能 , 当 防 火 墙 接收 到 的 数据 包 的 源 IP 地 址 和 源 MAC 地 址 对 应 关系 在 IP-MAC 绑 定 列表 
及 DHCP 监控 列表 中 均 未 命中 , 则 根据 IP-MAC 未 绑 定 策略 来 决定 对 该 数据 包 是 拒绝 通 
过 还 是 允许 通过 。 

如 果 用 户 没 有 对 IP-MAC 绑 定 策略 进行 配置 , 当 防 火 墙 接收 到 的 数据 包 的 源 IP 地 址 
和 源 MAC 地 址 对 应 关系 在 IP-MAC 绑 定 列表 及 DHCP 监控 列表 中 均 未 命中 , 则 允许 该 
数据 包 通 过 防火 墙 。 


4.4.3 单 包 攻击 防御 


单 包 攻击 一 般 包 括 3 种 类 型 : 畸形 报 文 攻击 ,扫描 类 攻击 以 及 特殊 控制 报 文 攻击 。 

畸形 报 文 攻击 通常 指 攻击 者 发 送 大 量 有 缺陷 的 报 文 ,从 而 造成 主机 或 服务 器 在 处 理 
这 类 报 文 时 系统 骨 溃 。 此 种 攻击 的 典型 案例 包括 Smurf 攻击 、Land 攻击 、Ping of Death 

扫描 类 攻击 是 一 种 潜在 的 攻击 行为 ,并 不 具备 直接 的 破坏 力 ,通常 是 攻击 者 发 动 真正 
攻击 前 的 网 络 探 测 行 为 。 此 种 攻击 的 典型 案例 包括 IP 地 址 扫描 攻击 和 端口 扫描 攻击 。 

特殊 控制 报 文 攻击 也 是 一 种 潜在 的 攻击 行为 ,不 具备 直接 的 破坏 力 ,攻击 者 通过 发 送 
特殊 控制 报 文 探测 网 络 结构 ,为 后 续 发 动 真正 的 攻击 做 准备 。 此 种 攻击 的 典型 案例 包括 
超大 ICMP 报 文 攻击 ICMP 重 定向 报 文 攻击 以 及 Tracert 报 文 攻击 等 。 

下 面 介 绍 3 种 常见 单 包 攻击 及 防御 方法 。 


1. Land 攻击 及 防御 
Land 攻击 是 指 攻击 者 向 目标 计算 机 发 送 伪造 的 TCP 报 文 ,此 TCP 报 文 的 源 地 址 和 
目的 地 址 同 为 目标 计算 机 的 IP 地 址 。 这 将 导致 目标 计算 机 向 自身 的 地 址 发 送 回应 报 文 ， 
从 而 造成 资源 的 消耗 。 
Land 攻击 利用 了 TCP 连接 建立 的 三 次 握手 过 程 ,通过 向 目标 计算 机 发 送 TCP SYN 
报 文 (连接 建立 请 求 报 文 ) 而 完成 对 目标 计算 机 的 攻击 。 与 正常 的 TCP SYN 报 文 不 同 的 
是 ,Land 攻击 报 文 的 源 IP 地 址 和 目的 IP 地 址 是 相同 的 ,都 是 目标 计算 机 的 IP 地 址 。 这 
样 目 标 计算 机 接收 到 这 个 SYN 报 文 后 ,就 会 向 该 报 文 的 源 地 址 发 送 一 个 ACK 报 文 ,并 
建立 一 个 TCP 连接 控制 结构 ,而 该 报 文 的 源 地 址 就 是 自己 ,因此 ,这 个 ACK 报 文 就 发 给 
了 自己 。 如 果 攻 击 者 发 送 了 足够 多 的 SYN 报 文 , 则 目标 计算 机 的 TCP 连接 控制 结构 可 
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能 会 耗 尽 , 最 终 不 能 正常 服务 。 
防火 墙 在 处 理 Land 攻击 报 文 时 ,检查 TCP 报 文 的 源 地 址 和 目的 地 址 是 否 相 同 ,或 
者 TCP 报 文 的 源 地 址 是 否 为 环 回 地 址 ,如 果 是 则 丢弃 。 


2. 端口 扫描 攻击 及 防御 

端口 扫描 攻击 通常 使 用 一 些 软件 向 目标 主机 的 一 系列 TCP/UDP 端口 发 起 连接 , 根 
据 应 答 报 文 判 断 主 机 是 否 使 用 这 些 端口 提供 服务 。 

利用 TCP 报 文 进行 端口 扫描 时 ,攻击 者 向 目标 主机 发 送 连接 请 求 (TCP SYN) 报 文 。 
车 请 求 的 TCP 端口 是 开放 的 ,目标 主机 回应 一 个 TCP ACK 报 文 ;车 请 求 的 TCP 端口 未 
开放 ,目标 主机 回应 一 个 TCP RST 报 文 。 通 过 分 析 回 应 报 文 是 ACK 报 文 还 是 RST 报 
文 ,攻击 者 可 以 判断 目标 主机 是 否 启 用 了 请 求 的 服务 。 

利用 UDP 报 文 进行 端口 扫描 时 ,攻击 者 向 目标 主机 发 送 UDP 报 文 。 若 目标 主机 上 
请 求 的 目的 端口 未 开放 ,目标 主机 回应 ICMP 不 可 达 报 文 ;车 该 端口 是 开放 的 , 则 不 会 回 
应 ICMP 报 文 。 通 过 分 析 是 否 回 应 了 ICMP 不 可 达 报 文 ,攻击 者 可 以 判断 目标 主机 是 否 
启用 了 请 求 的 服务 。 这 种 攻击 通常 在 判断 出 目标 主机 开放 了 哪些 端口 之 后 ,将 会 针对 具 
体 的 端口 进行 更 进一步 的 攻击 。 

防火 墙 对 收 到 的 TCP、UDP、ICMP 报 文 进行 检测 ,统计 从 同一 个 源 IP 地 址 发 出 报 文 
的 不 同 目的 端口 个 数 。 如 果 在 一 定 的 时 间 内 ,端口 个 数 达 到 设置 的 阔 值 , 则 直接 丢弃 报 
文 , 并 记录 日 志 , 然 后 根据 配置 决定 是 否 将 源 IP 地 址 加 入 黑 名 单 。 


3. ICMP 重 定向 报 文 攻击 及 防御 

ICMP 重 定向 报 文 是 ICMP 控制 报 文中 的 一 种 。 在 特定 的 情况 下 , 当 路 由 器 检测 到 
一 台 主 机 使 用 非 优化 路 由 的 时 候 , 它 会 向 该 主机 发 送 一 个 ICMP 重 定向 报 文 , 请 求 主机 改 
变 路 由 。 路 由 器 也 会 把 初始 数据 报 向 它 的 目的 地 转发 。 

如 图 4-17 所 示 ,当主 机 A 向 主机 B 发 送 一 个 请 求 时 , 先 通过 默认 网 关 ( 路 由 器 R2) 发 
起 请 求 ( 如 虚线 所 示 )。 而 这 时 R2 发 现 通过 自己 到 达 主 机 B 并 非 最 佳 路 径 , 通 过 路 由 器 


图 4-17 ICMP 重 定向 报 文 
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R1 到 达 主 机 B 的 路 径 更 短 , 于 是 路 由 器 R2 就 会 向 主机 A 发 送 ICMP 重 定向 报 文 ,让 主 
机 A 下 次 请 求 主机 B 时 通过 路 由 器 Rl1 走 ,不 要 从 路 由 器 R2 走 。 这 时 主机 A 就 会 在 自 
己 的 路 由 表 中 将 到 达 主 机 B 的 下 一 跳 地 址 改 成 路 由 器 R1。 

正常 的 网 关 可 以 向 主机 发 送 重 定向 报 文 ,因此 ,只 要 伪造 网 关 发 送 重 定向 报 文 ,就 能 
使 得 被 攻击 者 在 下 次 发 起 请 求 时 将 数据 包 发 送 至 错误 的 网 关 , 这 样 可 以 使 被 攻击 者 断 网 ， 
或 者 攻击 者 可 以 窃听 其 流量 数据 。 

如 图 4-18 所 示 ,攻击 的 关键 点 是 抓 取 主 机 A 向 路 由 器 R1 发 送 的 数据 包 , 在 WLAN 
下 数据 包 都 是 广播 发 送 的 ,所 以 攻击 者 的 网 卡 只 需要 开启 混杂 模式 ,就 能 抓 取 主 机 A 向 
路 由 器 R1 发 送 的 数据 包 。 


主机 B 


伪造 R1 发 送 ICMP 
重 定向 报 文 


图 4-18 ”ICMP 重 定向 报 文 攻击 


4.4.4 流量 型 攻击 防御 


流量 型 攻击 是 通过 在 网 络 中 发 送 大 流量 的 数据 包 , 极 大 地 消耗 网 络 带宽 资源 ,使 目标 
主机 瘫痪 ,从 而 达到 攻击 的 目的 。 攻 击 者 通过 木马 控制 网 络 中 的 计算 机 ,使 其 成 为 倪 偶 主 
机 。 攻 击 者 通过 控制 大 量 的 倪 偶 主机 同时 对 同一 个 目标 主机 发 动 大量 的 攻击 报 文 ,造成 
目标 主机 所 在 网 络 链 路 拥塞 .资源 耗 尽 ,从 而 使 目标 主机 无 法 向 正常 用 户 提供 服务 ,这 就 
是 分 布 式 拒绝 服务 (DDoS) 攻 击 。 

由 于 DDoS 攻击 往往 采取 合法 的 数据 请 求 技术 ,再 加 上 倪 偶 主机 ,造成 DDoS 攻击 成 
为 目前 最 难 防御 的 网 络 攻 击 之 一 。 传 统 的 网 络 设 备 和 周边 安全 技术 (例如 防火 墙 和 IDS) 
由 于 速率 限制 、 接 和 人 限制 等 , 均 无 法 提供 针对 DDoS 攻击 的 有 效 保护 ,需要 一 个 新 的 体系 
结构 和 技术 来 抵御 复杂 的 DDoS 攻击 。DDos 攻击 主要 是 利用 了 Internet 协议 和 Inter- 
net 的 基本 特点 一 一 无 偏差 地 从 任何 源头 传送 数据 包 到 任意 目的 地 。 

流量 型 攻击 常见 的 类 型 包括 SYN Flood、ACK Flood、UDP Flood ICMP Flood 等 。 


1. SYN Flood 
SYN Flood 是 拒绝 服务 攻击 的 常用 手段 之 一 。 它 利用 TCP 协议 的 缺陷 发 送 大 量 伪 
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造 的 TCP 连接 请 求 ,从 而 使 得 被 攻击 方 资源 耗 尽 ,最 终 导 致 系统 崩溃 。 

SYN 是 TCP/IP 建立 连接 时 使 用 的 握手 信号 。SYN 是 存在 于 TCP 头 部 的 一 个 同步 
比特 字段 ,而 ACK 是 TCP 头 部 的 一 个 确认 比特 字段 。 在 客户 机 和 服务 器 之 间 建 立正 常 
的 TCP 网 络 连 接 时 ,客户 机 首先 发 出 一 个 SYN 消息 ,服务 器 使 用 SYN 十 ACK 应 答 表示 
接收 到 这 个 消息 ,最 后 客户 机 再 以 ACK 消息 响应 。 这 样 在 客户 机 和 服务 器 之 间 才 能 建 
立 起 可 靠 的 TCP 连接 ,数据 才 可 以 在 客户 机 和 服务 器 之 间 传 递 。 

在 TCP 三 次 握手 机 制 中 ,如 果 客 户 端 在 发 送 了 SYN 报 文 后 出 现 了 故障 ,那么 服务 器 
在 发 出 SYN 十 ACK 应 答 报 文 后 无 法 收 到 客户 端的 ACK 报 文 , 即 第 三 次 握手 无 法 完成 ， 
这 种 情况 下 服务 器 会 重 试 ,向 客户 端 再 次 发 送 SYN 十 ACK ,并 等 待 一 段 时 间 。 如 果 在 一 
定时 间 内 还 是 得 不 到 客户 端的 回应 , 则 服务 器 放弃 这 个 未 完成 的 连接 。 

SYN Flood 攻击 正 是 利用 了 TCP 三 次 握手 机 制 。 攻 击 者 向 目标 主机 发 送 大 量 的 
SYN 报 文 请 求 , 当 目标 主机 回应 SYN 十 ACK 报 文 时 ,攻击 者 不 再 继续 回应 ACK 报 文 ， 
导致 目标 主机 上 建立 了 大 量 的 半 连 接 。 这 样 , 目 标 主机 的 资源 会 被 这 些 半 连接 耗 尽 ,导致 
目标 主机 资源 被 大 量 占 用 ,无 法 释放 ,直至 无 法 再 向 正常 用 户 提供 服务 。SYN Flood 攻 
击 过 程 如 图 4-19 所 示 。 


攻击 者 服务 器 
[mm 月 
伪造 报 广 SE -| 
SYN+ACK 
SYN 
伪造 报 广 -| 
SYN+ACK 


图 4-19 ”SYN Flood 攻击 过 程 


防火 墙 针 对 SYN Flood 攻击 ,一 般 会 采用 TCP 代理 和 源 探测 两 种 方式 进行 防御 。 

TCP 代理 是 指 防火 墙 部 署 在 客户 端 和 服务 器 中 间 , 当 客户 端 向 目标 主机 发 送 的 SYN 
报 文 经 过 防火 墙 时 ,防火 墙 代替 目标 主机 与 客户 端 进行 三 次 握手 。 这 种 防御 方式 一 般 用 
于 报 文 来 回路 径 一 致 的 场景 。 

TCP 代理 过 程 如 图 4-20 所 示 。 当 防火 墙 收 到 SYN 报 文 时 ,对 SYN 报 文 进行 拦截 ， 
代替 服务 器 回应 SYN 十 ACK 报 文 。 如 果 客 户 端 不 能 正常 回应 ACK 报 文 , 则 判定 此 
SYN 报 文 为 非 正常 报 文 ,防火 墙 代替 目标 主机 保持 半 连 接 一 定时 间 后 ,放弃 此 连接 。 

如 果 客 户 端正 常 回应 ACK 报 文 ,防火 墙 与 客户 端 完 成 了 正常 的 三 次 握手 , 则 判定 此 
SYN 报 文 为 正常 业务 报 文 ,而 非 攻 击 报 文 。 防 火 墙 立即 与 目标 主机 再 进行 三 次 握手 ,此 
连接 的 后 续 报 文 直接 送 到 目标 主机 。 

整个 TCP 代理 的 过 程 对 于 客户 端 和 服务 器 都 是 透明 的 。TCP 代理 的 本 质 就 是 利用 
防火 墙 的 高 性 能 ,代替 服务 器 承受 半 连 接 带 来 的 资源 消耗 ,由 于 防火 墙 的 性 能 一 般 比 服务 
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攻击 者 防火 墙 缓存 服务 器 
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SYN+ACK 
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连续 一 段 时 间 内 到 同一 目的 地 址 的 SYN 报 文 超过 阔 值 就 启动 TCP 代 理 


伪造 报 文 SEN 
SYN+ACK 


4-20 ”TCP 代理 原理 示意 图 
器 高 很 多 ,所 以 可 以 有 效 防御 这 种 消耗 资源 的 攻击 。 


2. UDP Flood 

用 户 数据 报 (User Datagram Protocol, UDP) 是 一 种 无 连接 的 协议 ,在 OSI 参考 模型 
的 传输 层 , 处 于 IP 协议 的 上 一 层 。 与 TCP 协议 不 同 , UDP 是 一 个 无 连接 协议 ,在 使 用 
UDP 协议 传输 数据 之 前 ,客户 端 和 服务 器 之 间 不 建立 连接 ,不 提供 数据 包 分 组 、 组 装 ,不 
能 对 数据 包 进 行 排序 , 当 报 文 发 送 之 后 ,无 法 得 知 其 是 否 安全 、 完 整 到 达 。 如 果 在 从 客户 
端 到 服务 器 端的 传递 过 程 中 出 现 数据 的 丢失 ,UDP 协议 本 身 并 不 能 做 出 任何 检测 或 提 
示 。 因 此 ,通常 把 UDP 协议 称 为 不 可 靠 的 传输 协议 。 

虽然 UDP 是 一 种 不 可 靠 的 网 络 协议 ,但 其 具有 非常 大 的 速度 优势 。 由 于 UDP 不 使 
用 信息 可 靠 传递 机 制 , 将 安全 和 排序 等 功能 移交 给 上 层 应 用 来 完成 , 极 大 地 缩短 了 执行 时 
间 ,使 传输 速度 得 到 了 保证 。 因 此 UDP 广泛 应 用 于 多 媒体 应 用 中 ,例如 包括 网 络 视频 会 
议 系统 在 内 的 众多 的 客户 /服务 器 模式 的 网 络 应 用 都 需要 使 用 UDP 协议 。UDP 协议 从 
问世 至 今 已 经 使 用 了 很 多 年 ,虽然 其 最 初 的 光彩 已 经 被 一 些 类 似 协 议 所 掩盖 ,但 是 即使 在 
今天 ,UDP 仍然 不 失 为 一 项 非常 实用 和 可 行 的 网 络 传输 层 协议 。 

与 所 熟知 的 TCP 协议 一 样 ,UDP 直接 位 于 IP 协议 的 顶层 。 根 据 OSI 参考 模型 ， 
UDP 和 TCP 都 属于 传输 层 协议 。UDP 协议 的 主要 作用 是 将 网 络 数据 流 压 缩 成 数据 包 
的 形式 。 一 个 典型 的 数据 包 就 是 一 个 二 进 制 数 据 的 传输 单位 。 每 一 个 数据 包 的 前 8 个 字 
节 包 含 报头 信息 ,剩余 字 节 则 包含 具体 的 传输 数据 。 

UDP 协议 的 广泛 应 用 为 攻击 者 发 动 UDP Flood 攻击 提供 了 机 会 。UDP Flood 属于 
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带宽 类 攻击 ,由 于 UDP 协议 是 无 连接 性 的 ,所 以 只 要 开放 了 一 个 UDP 的 端口 提供 相关 
服务 ,就 可 针对 相关 的 服务 进行 攻击 。 在 UDP Flood 攻击 中 ,攻击 者 可 发 送 大 量 伪 造 源 
IP 地 址 的 UDP 数据 包 。 如 图 4-21 所 示 ,攻击 者 通过 僵尸 网 络 向 目标 服务 器 发 起 大 量 的 
UDP 报 文 ,这 种 UDP 报 文通 常 为 大 包 , 且 速率 非常 快 ,通常 会 消耗 网 络 带宽 资源 ,严重 时 
会 造成 链 路 拥塞 ,使 依靠 会 话 转发 的 网 络 设备 性 能 降低 甚至 会 话 耗 尽 ,从 而 导致 网 络 


瘫痪 。 


oppix 
UDP 报 文 


资源 耗 尽 


UDP 报 文 


UDP 报 文 UDP 报 文 
CC- 


加 


图 4-21 UDP Flood 攻击 过 程 


防火 墙 对 UDP Flood 攻击 的 防御 方式 是 限 流 ,通过 限 流 将 链 路 中 的 UDP 报 文 控 制 
在 合理 的 带宽 范围 之 内 。 

防火 墙 针 对 UDP Flood 攻击 的 限 流 有 3 种 。 

(1) 基于 目的 IP 地 址 的 限 流 。 即 以 某 个 IP 地 址 作为 统计 对 象 ,对 到 达 这 个 IP 地 址 
的 UDP 报 文 进行 统计 并 限 流 , 将 超过 部 分 丢弃 。 

(2) 基于 目的 安全 域 的 限 流 。 即 以 某 个 安全 域 作为 统计 对 象 ,对 到 达 这 个 安全 域 的 
UDP 报 文 进行 统计 并 限 流 , 将 超过 部 分 丢弃 。 

(3) 基于 会 话 的 限 流 。 即 对 每 条 UDP 会 话 上 的 报 文 速率 进行 统计 ,如 果 会 话 上 的 
UDP 报 文 速率 达到 了 告警 阔 值 ,这 条 会 话 就 会 被 锁定 ,后 续 命 中 这 条 会 话 的 UDP 报 文 都 
被 丢弃 。 当 这 条 会 话 连 续 3s 或 者 3s 以 上 没有 流量 时 ,防火 墙 会 解锁 此 会 话 ,后续 命中 此 
会 话 的 报 文 可 以 继续 通过 。 


4.4.5 应 用 层 Flood 攻击 防御 


随 着 计算 机 硬件 的 不 断 提升 运营 商 网 络 的 不 断 扩容 以 及 安全 策略 的 不 断 完善 ,依靠 
抢占 带宽 制造 的 流量 型 攻击 效果 越 来 越 差 。 攻 击 者 开始 寻求 新 的 突破 , 转 而 向 上 进行 应 
用 层 攻 击 ,应 用 层 攻击 逐渐 变 为 新 的 焦点 。 应 用 层 攻 击 比 传输 层 攻 击 对 于 目标 服务 器 造 
成 的 伤害 更 大 。 

应 用 层 攻击 是 指 破坏 应 用 程序 .应 用 程序 的 用 户 或 由 应 用 程序 管理 的 数据 的 行为 。 
应 用 层 攻击 通常 并 不 依赖 于 在 其 下 各 层 使 用 的 攻击 技术 ,但 应 用 层 攻 击 有 时 会 使 用 这 些 
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攻击 技术 (如 IP 欺骗 或 TCP 会 话 劫持 ) 来 改变 应 用 层 攻击 传递 给 目标 系统 的 方式 。 常 见 
的 应 用 层 攻 击 包 括 DNS Flood HTTP Flood 等 。 


1. DNS Flood 攻击 

通常 情况 下 ,用 户 在 上 网 访问 网 页 的 时 候 输 入 的 网 址 都 是 域名 ,这 个 请 求 的 域名 会 发 
送 到 DNS 缓存 服务 器 ,以 请 求 其 对 应 的 IP 地 址 。 如 果 DNS 缓存 服务 器 上 有 此 域名 和 
IP 地 址 的 映射 关系 ,DNS 缓存 服务 器 就 会 将 查询 到 的 IP 地 址 返回 给 客户 端 。 当 DNS 组 
存 服务 器 查找 不 到 该 域名 与 IP 地 址 的 对 应 关系 时 , 它 会 向 DNS 授权 服务 器 发 出 域名 查 
询 请 求 。 为 了 减少 Internet 上 DNS 的 通信 和 量 ,DNS 缓存 服务 器 会 将 查询 到 的 域名 和 IP 
地 址 对 应 关系 存储 在 自己 的 本 地 缓存 中 。 后 续 再 有 主机 请 求 该 域名 时 ,DNS 缓存 服务 器 
会 直接 用 本 地 缓存 中 的 记录 信息 回应 ,直到 该 记录 老化 ,被 删除 。 

DNS Flood 攻击 是 向 被 攻击 的 DNS 服务 器 发 送 大 量 的 域名 解析 请 求 , 通 常 请 求解 析 
的 域名 是 随机 生成 的 或 者 在 网 络 上 根本 不 存在 的 域名 。 被 攻击 的 DNS 服务 器 在 接收 到 
域名 解析 请 求 后 ,首先 会 在 服务 器 上 查找 是 否 有 对 应 的 缓存 ,如 果 查 找 不 到 并 且 该 域名 无 
法 直接 由 服务 器 解析 的 时 候 ,DNS 服务 器 会 向 其 上 层 DNS 服务 器 递归 查询 域名 信息 。 
域名 解析 的 过 程 需 要 DNS 缓存 服务 器 不 停 向 授权 服务 器 发 送 解析 请 求 , 最 终 导 致 DNS 
缓存 服务 器 或 者 DNS 授权 服务 器 瘫痪 ,影响 其 对 正常 请 求 的 回应 。DNS Flood 攻击 的 过 
程 如 图 4-22 所 示 。 

客户 端 DNS 缓存 服 务 器 DNS 授权 服务 器 


Le] 局 一 


发 送 DNS 请 求 报 文 ， 如 news.com 


DNS 缓存 服务 器 回应 : DNS 缓存 服务 器 本 地 组 


请 求 的 IP 地 址 为 xx 存 中 有 此 项 ， 直 接 回应 
ey 
发 送 DNS 请 求 报 文 ， 如 news.com 发 起 查询 请 求 
DNS 缓存 服务 器 回应 : DNS 授权 服务 器 回应 : 
请 求 的 叫 地 址 为 xx 请 求 的 IP 地 址 为 xx 


图 4-22 DNS Flood 攻击 的 过 程 


防火 墙 防御 DNS Flood 攻击 采用 的 方式 是 TC 源 认 证 。DNS 服务 器 支持 TCP 和 
UDP 两 种 协议 的 查询 ,但 是 大 多 数 查 询 使 用 的 是 UDP, 这 是 由 于 UDP 提供 无 连接 服务 ， 
传输 速度 快 ,可 以 降低 服务 器 的 负载 。 但 是 当 DNS 服务 器 设 定 使 用 TCP 连接 时 ,就 需要 
通过 TCP 方式 查询 。 当 客户 端 向 DNS 服务 器 发 起 查询 请 求 时 ,DNS 回应 报 文中 有 一 个 
TC 标志 位 ,如 果 TC 标志 位 置 1, 就 表示 需要 通过 TCP 方式 查询 ,如 图 4-23 所 示 。 防 火 
墙 就 是 利用 这 一 机 制 对 DNS Flood 攻击 进行 防御 的 。 
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QR [Opcode[ AAT TC [ RD | RA [ (Zero) [ Reode 
1 4 1 1 1 1 3 14 
0 15 16 31 
标识 标志 
问题 数 资源 记录 数 


授权 资源 记录 数 额外 资源 记录 数 


查询 问题 


问答 
(资源 记录 数 可 变 ) 


授权 
(资源 记录 数 可 变 ) 


额外 信息 
(资源 记录 数 可 变 ) 


4-23 DNS 回应 报 文 格式 


如 图 4-24 所 示 ,如 果 发 生 DNS Flood 攻击 ,防火 墙 收 到 DNS 请 求 时 ,会 代替 DNS 服 
务 器 响应 DNS 请 求 , 并 将 TC 标志 位 置 1 ,要求 DNS 客户 端 以 TCP 方式 发 送 DNS 请 求 。 
如 果 客 户 端 是 真实 源 IP 地 址 ,会 继续 以 TCP 方式 发 送 DNS 请 求 ; 如 果 客 户 端 是 虚假 源 
IP 地 址 , 则 不 会 再 以 TCP 方式 发 送 DNS 请 求 。 


攻击 者 DNS 缓存 服务 器 
1 
擅 造 报 文 DNS 请 求 | -| 
无 回应 | DNS 回应 | 
! 
1 
为 造 报 文 AE | wt 
1 
无 回应 | DNS 回应 | 
伪造 报 文 一 般 
二 全 信 连续 一 段 时 间 内 到 同一 目的 地 址 的 DNS 请 求 报 文 超过 阔 值 就 启动 认证 
伪造 报 文 DNS 请 求 : abcd.com(UDP) 
无 回应 | ”DNS 回应 : 请 以 TCP 报 文 发 送 DNS 请 求 


图 4-24 DNS Flood 攻击 防御 过 程 
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下 一 代 防 火 墙 针对 DNS Flood 有 两 种 防御 动作 ,分 别 是 告警 和 丢弃 。 当 数据 包 数 量 
达到 告警 阅 值 后 ,对 命中 DNS Flood 防御 策略 的 数据 包 仅 会 产生 告警 日 志 。 当 数据 包 数 
量 达到 丢弃 阅 值 后 ,对 命中 DNS Flood 防御 策略 的 数据 包 不 仅 会 产生 告警 日 志 , 还 会 将 
其 丢弃 。 

下 一 代 防 火 墙 在 普通 防御 模式 下 , 当 数 据 包 数 量 达 到 阔 值 后 ,对 命中 DNS Flood 防 
御 策略 的 数据 包 , 会 采取 首 包 丢弃 技术 进行 防御 。 这 种 模式 的 适用 场景 为 大 量 随机 源 发 
起 的 大 量 随机 DNS 请 求 。 

下 一 代 防 火 墙 在 增强 防御 模式 下 , 当 数 据 包 数量 达到 阔 值 后 ,对 命中 DNS Flood 防 
御 策略 的 数据 包 , 会 采取 TC 反弹 技术 进行 防御 。 这 种 模式 能 细 粒 度 分 离 攻击 者 与 正常 
用 户 , 但 可 能 会 占用 更 多 的 DNS 服务 器 资源 。 


2. HTTP Flood 攻击 
HTTP Flood 攻击 是 指 攻击 者 通过 代理 或 僵尸 主机 向 目标 服务 器 发 送 大 量 的 HTTP 
报 文 ,请 求 涉 及 数据 库 操作 的 URI(Universal Resource Identifier, 统 一 资源 标识 符 ) 或 其 
他 消耗 系统 资源 的 URI, 造 成 服务 器 资源 耗 尽 ,无 法 响应 正常 请 求 。 例 如 门户 网 站 经 常 
受到 的 HTTP Flood 攻击 ,其 最 大 特征 就 是 选择 消耗 服务 器 CPU 或 内 存 资源 的 URI, 如 
涉及 数据 库 操作 的 URI。 
防火 墙 对 于 HTTP Flood 攻击 的 防御 主要 依靠 HTTP 协议 所 支持 的 重 定向 方式 。 
所 谓 重 定向 是 指 服务 器 无 法 处 理 浏 览 器 发 送 过 来 的 请 求 , 服 务 器 告诉 浏览 器 跳 转 到 可 以 
处 理 请 求 的 URI。 例 如 ,客户 端 向 服务 器 请 求 www. sina. com, 服 务 器 可 以 返回 一 个 命令 ,让 
客户 端 改 为 访问 www. sohu. com。 这 种 重 定向 的 命令 在 HTTP 协议 栈 中 是 合法 的 。 防 火 
墙 的 防御 机 制 就 是 利用 这 个 技术 点 来 探测 HTTP 客户 端 是 否 为 真实 存在 的 主机 。 
防火 墙 利 用 HTTP 报 文 的 重 定向 机 制 , 在 防御 HTTP Flood 攻击 过 程 中 ,向 客户 端 
重 定 向 一 个 其 他 的 URI。 
如 图 4-25 所 示 , 当 客户 端 访问 searchl. com 的 时 候 , 防 火 墙 将 客户 端 要 访问 的 URI 
重 定向 到 search2. com。 如 果 客 户 端 是 虚假 源 ,在 收 到 防火 墙 发 送 的 重 定 向 地 址 后 ,不 会 
重新 发 送 HTTP 请 求 ;如 果 客 户 端 是 真实 源 , 则 会 对 防火 墙 的 重 定向 报 文 进行 响应 ,并 重 
新 向 search2. com 发 送 请 求 。 这 样 ,防火 墙 收 到 search2. com 请 求 后 , 即 可 判定 这 个 客户 
端 是 真实 源 ,并 允许 这 个 客户 端 连 接 目的 服务 器 。 
下 一 代 防 火 墙 针对 HTTP Flood 攻击 有 两 种 防御 动作 ,分 别 是 告警 和 丢弃 。 当 数据 
包 数 量 达 到 告警 阔 值 后 ,对 命中 HTTP Flood 防御 策略 的 数据 包 仅 会 产生 告警 日 志 。 当 
数据 包 数 量 达 到 丢弃 阀 值 后 ,对 命中 HTTP Flood 防御 策略 的 数据 包 不 仅 会 产生 告警 日 
下 一 代 防 火 墙 在 普通 防御 模式 下 , 当 数 据 包 数 量 达 到 阔 值 后 ,对 命中 HTTP Flood 
防御 策略 的 数据 包 会 采取 自动 重 定向 技术 进行 防御 。 此 种 模式 适合 在 攻击 方 未 完全 实现 
HTTP 协议 栈 ,而 是 用 攻击 工具 制造 大 量 HTTP get 请 求 ,无 法 响应 重 定 向 时 使 用 。 
下 一 代 防 火 墙 在 增强 防御 模式 下 , 当 数 据 包 数 量 达到 阔 值 后 ,对 命中 HTTP Flood 
防御 策略 的 数据 包 会 采取 手动 确认 技术 进行 防御 。 这 种 模式 可 以 完全 区 分 攻击 者 与 用 
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攻击 者 防火 墙 缓存 服务 器 


辐 疏 


HTTP 请 求 : searchl.com 


HTTP 回 应 


HTTP 请 求 : searchl.com 


HTTP 回 应 : 重 定向 至 search2.com 


连续 一 段 时 间 内 到 同一 目的 地 址 的 HTTP 请 求 报 文 超过 阔 值 就 启动 认证 


伪造 报 文 HTTP 请 求 : searchl.com 


HTTP 回 应 : 重 定向 至 search2.com 


图 4-25 HTTP Flood 攻击 防御 过 程 


户 , 需 要 用 户 手动 确认 访问 。 

下 一 代 防 火 墙 的 攻击 防御 模块 集成 了 基于 安全 域 的 Flood 攻击 防御 和 扫描 欺骗 防 
御 、IP 地 址 扫描 攻击 防御 、 端 口 扫描 防御 以 及 异常 包 攻 击 防御 、 应 用 层 防 御 等 手段 ,使 得 
用 户 通 过 启用 并 配置 攻击 防御 模块 能 有 效 地 过 滤 非 正常 报 文 或 攻击 报 文 并 采取 相应 的 措 
施 阻止 其 流入 用 户 内 网 。 同 时 针对 洪水 攻击 和 扫描 攻击 ,攻击 防御 模块 允许 用 户 通过 限 
制 报 文 的 阔 值 来 保护 内 部 网 络 免 受 恶意 洪水 攻击 的 威胁 ,保证 内 部 网 络 及 内 部 服务 器 正 
常 运行 。 攻 击 防 御 模块 能 及 时 向 用 户 输出 安全 告警 ,并 在 系统 状态 中 实时 显示 当前 排行 
前 10 位 的 攻击 行为 ,让 网 络 管理 员 能 够 快速 了 解 并 定位 网 络 攻击 ,并且 能 快速 做 出 响应 ， 
保证 网 络 正常 。 

常见 的 攻击 方式 摊 杂 了 大 量 的 组 合式 洪水 攻击 ,攻击 者 实际 上 是 通过 消耗 被 攻击 者 
的 性 能 资源 来 破坏 被 攻击 者 的 资产 。 为 此 ,下 一 代 防 火 墙 系统 提供 了 强大 的 性 能 支撑 ,以 
保证 在 大 量 攻击 消耗 下 一 代 防 火 墙 资源 的 时 候 , 不 会 给 用 户 网 络 带 来 损失 。 


及 加 入 侵 防 御 


随 着 网 络 的 高 速 发 展 ,各 种 威胁 也 层出不穷 ,木马 .蠕虫 .僵尸 网 络 、 间 谍 软 件 以 及 洲 
出 攻击 、 注 入 攻击 等 多 种 攻击 方式 都 在 威胁 着 网 络 安全 。 另 外 ,操作 系统 、 应 用 程序 不 断 
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爆 出 安全 漏洞 ,已 知 安全 漏洞 造成 的 危害 难以 应 对 ,未 知 的 安全 漏洞 也 带 来 了 多 种 隐患 。 

网 络 中 除了 大 量 用 户 正常 访问 服务 的 流量 以 外 ,还 存在 大 量 异 常 的 攻击 流量 。 攻 击 
者 利用 通信 协议 操作 系统 、 应 用 程序 等 信息 系统 组 件 的 漏洞 ,获得 系统 的 远程 控制 权限 ， 
从 而 达到 不 法 目的 ,可 能 造成 用 户 的 信息 系统 遭 到 破坏 甚至 信息 泄露 等 后 果 。 面 对 这 种 
状况 ,下 一 代 防 火 墙 提供 了 入 侵 防 御 系 统 (IPS) 功 能 。 

传统 防火 墙 工作 在 网 络 层 ,无 法 检测 到 针对 应 用 层 的 攻击 。 下 一 代 防 火 墙 人 侵 防 御 
主要 提供 基于 应 用 层 的 安全 防御 ,提供 了 漏洞 防御 与 防 间谍 软件 功能 ,通过 抵御 拒绝 服 
务 、 缓 冲 区 溢出 ` 恶 意 扫描 \ 木 马 后 门 .病毒 蠕虫 .僵尸 网 络 . 跨 站 脚本 .SQL 注入 等 攻击 手 
段 , 达 到 保护 用 户 服务 器 和 接 人 终端 安全 的 目的 。 

下 一 代 防 火 墙 可 识别 并 阻 断 3000 余 种 漏洞 入 侵 和 间谍 软件 ,支持 生成 动态 策略 。 


4.5.1 网络 入 侵 技 术 简 介 


由 于 应 用 软件 ,操作 系统 在 设计 上 不 可 避免 地 存在 缺陷 或 错误 ,导致 应 用 软件 ,操作 
系统 存在 漏洞 。 这 些 漏洞 一 旦 被 利用 ,如 利用 漏洞 向 应 用 软件 .操作 系统 植 信 恶意 代码 ， 
利用 漏洞 实现 越权 访问 甚至 获得 控制 权 等 ,都 会 给 用 户 带 来 不 可 估量 的 损失 。 

攻击 者 利用 应 用 软件 和 操作 系统 的 漏洞 入 侵 系 统 。 攻 击 者 使 用 的 入 侵 方法 很 多 ,入 
侵 成 功 后 ,攻击 者 会 在 被 攻击 设备 上 安装 木马 程序 。 木 马 是 一 种 恶意 程序 ,是 一 种 基于 远 
程控 制 的 黑客 工具 ,一 旦 侵入 用 户 的 计算 机 ,就 悄悄 地 在 宿主 计算 机 上 运行 ,在 用 户 毫 无 
察觉 的 情况 下 ,让 攻击 者 获得 远程 访问 和 控制 系统 的 权限 ,进而 在 用 户 的 计算 机 中 修改 文 
件 ,修改 注册 表 ,控制 鼠标 ,监视 /控制 键盘 ,或 窃取 用 户 信息 。 与 一 般 的 病毒 不 同 ,木马 不 
会 自我 繁殖 ,也 并 不 刻意 去 感染 其 他 文件 。 木 马 通 过 将 自身 伪装 成 正常 程序 ,吸引 用 户 下 
载 和 执行 ,向 攻击 者 提供 打开 用 户 计算 机 的 门户 ,使 攻击 者 可 以 任意 毁坏 、 窃 取 用 户 计算 
机 的 文件 ,甚至 远程 操控 用 户 计 算 机 。 木 马 系 统 软 件 一 般 由 木马 配置 程序 ,控制 程序 和 木 
马 程序 (服务 器 程序 ) 三 部 分 组 成 ,如 图 4-26 所 示 。 


木 己 服务 器 
( 受 控 主机 ) 


4-26 木马 系统 软件 组 成 
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当 通 过 木马 控制 目标 主机 时 ,木马 控制 端 需 要 与 服务 器 端 建 立 连 接 , 而 连接 时 必须 知 
道 服务 器 端的 木马 端口 和 IP 地 址 。 获 得 服务 器 端的 IP 地 址 的 方法 主要 有 两 种 : 信息 反 
馈 和 IP 扫描 。 木 马 控制 目标 主机 的 过 程 如 图 4-27 所 示 。 


控制 端 服务 器 端 
(1) 建立 连接 前 CJ Re 三 
EC 
202.96.96.102 JP 地 址 未 知 
(2) 通过 信息 反馈 
或 端口 扫描 获 
取 服 务 器 端 P 
地 址 
202.96.96.102 202.102.47.56 


4-27 木马 控制 目标 主机 的 过 程 


当 木 马 与 目标 主机 建立 连接 后 ,控制 端 端口 和 服务 器 端木 马 端口 之 间 将 会 出 现 一 条 
通道 ,控制 端 上 的 控制 程序 可 通过 这 条 通道 与 服务 器 端 上 的 木马 程序 取得 联系 ,并 通过 木 
马 程序 对 服务 器 端 进行 远程 控制 ,其 实现 的 远程 控制 就 如 同 本 地 操作 一 样 。 


4.5.2 入侵 防御 原理 


入 侵 防 御 系 统 (IPS) 可 以 实时 发 现 和 阻 断 入 侵 行为 ,是 一 种 侧重 于 风险 控制 的 安全 
机 制 ,如 图 4-28 所 示 。 


图 4-28 IPS 示 意图 


入 侵 防御 系统 通过 对 数据 流 进行 二 到 七 层 的 深度 分 析 , 能 精确 、 实 时 地 识别 和 阻 断 病 
毒 .木马 .SQL 注入 、 跨 站 脚本 攻击 、DoS/DDoS、 扫 描 等 安全 威胁 。 入 侵 防 御 系 统 检测 引 
擎 结合 了 异常 检测 与 攻击 特征 数据 库 检 测 的 技术 ,同时 也 包含 了 深层 数据 包 检 查 能 力 , 除 
了 检查 第 四 层 数 据 包 外 ,更 能 深入 检查 到 第 七 层 数据 包 内 容 , 以 阻挡 恶意 攻击 的 穿 透 , 同 
时 不 影响 正常 程序 的 工作 。 

防御 入 侵 的 前 提 是 识别 入 侵 行为 ,网 络 中 的 报 文 多 种 多 样 ,IPS 采用 特征 对 比 的 方 
式 , 通 过 签名 来 判断 入 侵 行为 。 

下 一 代 防 火 墙 提 供 了 IPS 特征 库 ( 签 名 库 ) ,其 中 包含 了 针对 各 种 已 知 攻击 行为 的 信 
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息 。 由 于 这 些 攻击 行为 的 信息 都 是 事先 定义 好 的 ,可 以 直接 使 用 。 网 络 攻 击 层出不穷 ,为 
了 识别 新 的 攻击 行为 ,必须 定期 更 新 IPS 特征 库 , 才 能 够 更 好 地 防御 攻击 行为 ,保证 网 络 
安全 。 

使 用 预定 义 攻 击 行为 信息 可 以 识别 出 绝 大 部 分 攻击 行为 并 进行 防御 ,可 以 满足 一 般 
场景 中 的 安全 需求 ,但 是 还 是 有 一 些 预定 义 攻 击 行为 信息 覆盖 不 到 的 情况 。 例 如 ,针对 某 
个 漏洞 的 攻击 行为 已 经 出 现 ,但 是 IPS 特征 库 中 还 没有 更 新 相应 的 签名 ;安全 厂商 还 未 知 
晓 的 零 日 漏洞 (0day) ,其 漏洞 信息 和 利用 方法 就 已 经 在 黑客 圈 里 传播 了 。 这 两 种 情况 都 
是 因为 IPS 特征 库 中 没有 相应 的 预定 义 攻 击 行为 信息 ,所 以 IPS 无 法 防范 此 类 攻击 行为 。 

为 此 ,下 一 代 防 火 墙 提供 了 自 定义 攻击 行为 信息 功能 ,以 解决 预定 义 攻击 行为 信息 未 
及 时 更 新 而 导致 的 无 法 识别 和 防御 上 述 攻 击 行为 的 问题 。 使 用 自 定义 行为 信息 来 临时 防 
御 这 些 利用 未 知 漏洞 进行 攻击 的 行为 , 待 升级 IPS 特征 库 后 ,再 使 用 IPS 特征 库 中 相应 的 
预定 义 攻 击 行为 信息 来 防御 。 

自 定义 攻击 行为 信息 需要 手工 定义 攻击 行为 的 特征 ,对 网 络 管理 员 技 能 要 求 很 高 。 
比如 针对 0day 漏洞 ,网 络 管理 员 需 要 了 解 漏洞 的 原理 和 利用 方法 ,掌握 攻击 报 文 的 特征 ， 
才能 够 精确 地 配置 自 定义 攻击 行为 信息 。 如 果 配 置 不 当 , 会 导致 攻击 行为 信息 无 效 , 无 法 
防御 攻击 行为 ,甚至 影响 正常 业务 。 

IPS 特征 库 中 包含 了 针对 各 种 攻击 行为 的 海量 攻击 行为 信息 ,但 是 在 实际 网 络 环境 
中 ,业务 类 型 可 能 比较 简单 ,不 需要 使 用 所 有 的 攻击 行为 信息 ,大 量 无 用 的 攻击 行为 信息 
也 容易 影响 对 常用 签名 的 调 测 。 此 时 可 以 使 用 攻击 行为 信息 过 滤器 将 常用 的 攻击 行为 信 
息 过 滤 出 来 。 

攻击 行为 信息 过 滤器 是 若干 签名 的 集合 ,根据 特定 的 条 件 ,如 严重 性 .协议 ,威胁 类 型 
等 ,将 IPS 特征 库 中 适用 于 当前 业务 的 签名 筛选 到 攻击 行为 信息 过 滤器 中 ,后 续 就 可 以 重 
点 关注 这 些 攻击 行为 信息 的 防御 效果 。 通 常情 况 下 ,对 于 筛选 出 来 的 这 些 攻击 行为 信息 ， 
在 攻击 行为 信息 过 滤器 中 会 沿用 攻击 行为 信息 本 身 的 默认 动作 。 特 殊 情 况 下 ,也 可 以 在 
攻击 行为 信息 过 滤器 中 为 这 些 签名 统一 设置 新 的 动作 ,操作 非常 便捷 。 

IPS 特征 库 中 预定 义 攻击 行为 信息 的 动作 无 法 修改 ,不 能 按 需 调整 ,考虑 到 各 种 例外 
情况 ,下 一 代 防 火 墙 提 供 了 例外 行为 信息 功能 。 例 外 行为 信息 的 优先 级 高 于 攻击 行为 信 
息 过 滤器 ,使 用 例外 行为 信息 可 以 为 特定 的 行为 信息 单独 设置 动作 。 例 如 ,发 现 某 些 正常 
的 业务 报 文 命中 行为 信息 ,被 误 阻 断 , 可 以 将 该 行为 信息 加 入 到 例外 行为 信息 中 ,然后 调 
整 动作 为 放行 。 

IPS 处 理 流程 如 图 4-29 所 示 。 

(1) 下 一 代 防 火 墙 会 首先 进行 IP 分 片 报 文 重组 以 及 TCP 流 重 组 ,可 以 有 效 检测 出 
逃避 入 侵 防御 检测 的 攻击 行为 。 经 过 应 用 协议 识别 后 ,各 种 应 用 的 流量 已 经 被 识别 出 来 ， 
然后 下 一 代 防 火 墙 对 流量 进行 IPS 检测 ,将 报 文 特征 与 IPS 特征 库 中 的 行为 信息 进行 
匹配 。 

(2) 报 文 命中 行为 信息 后 ,下 一 代 防 火 墙 首 先 会 判断 该 行为 是 否 属于 例外 行为 ,如 果 
属于 例外 行为 ,执行 例外 行为 信息 的 动作 ;否则 进入 下 一 环节 处 理 。 

(3) 下 一 代 防 火 墙 判 断 该 行为 是 否 属于 攻击 行为 ,如 果 属 于 攻击 行为 ,执行 行为 信息 
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> 


行 例外 行为 的 
让 5 和 让 二 ee | 执行 例外 行为 的 动作 


(允许 /告警 / 阻 断 ) 


Tr 
1 11 1 
1 11 1 
1 | 
1 11 1 
1 11 | 
| 中 | 
| 特征 匹配 1 ! 
1 11 1 
1 11 1 
| _「 报 广 重 组 ee | 
ei | 一 一 IPS 检 测 1 

应 用 也 | 

ee | 

| 
1 
| 执行 生 为 信息 if| | 
| ; 

ee psi PD | 


图 4-29 ”IPS 处 理 流程 


过 滤器 的 动作 ( 当 行 为 信息 过 滤器 的 动作 为 “采用 行为 信息 的 默认 动作 ”时 ,如 果 报 文 命中 
了 多 个 行为 信息 ,以 最 严格 的 动作 为 准 ) ;否则 进入 下 一 环节 处 理 。 

(4) 如 果 报 文 命中 的 行为 信息 既 不 属于 例外 行为 也 不 属于 攻击 行为 , 则 不 会 进行 IPS 
处 理 , 直 接 放行 。 

IPS 的 配置 不 是 一 件 一 劳 永 逸 的 事情 ,其 防御 效果 也 不 能 一 跤 而 就 。 网 络 中 的 威胁 
是 千变万化 的 ,完成 IPS 初始 配置 后 ,还 要 持续 不 断 地 调整 和 维护 IPS 配置 ,增强 防御 
效果 。 

部 署 IPS 后 调整 防御 策略 的 方法 如 图 4-30 所 示 。IPS 配置 完成 后 ,通过 监控 攻击 行 
为 .分 析 威 胁 日 志 等 手段 ,发 现 防御 策略 不 合理 的 地 方 ,进而 对 IPS 配置 做 出 调整 ,如 修改 
行为 信息 过 滤器 、 升 级 IPS 特征 库 ,必要 的 时 候 还 可 以 使 用 例外 行为 信息 和 自 定义 行为 


信息 。 
根据 防护 对 象 的 业务 模型 ， 筛 选 行为 信息 ， 制 定 行为 信息 过 滤器 ) 


1 
人 在 安全 策略 中 引用 入 侵 防御 配置 文件 ， 完 成 初始 配置 ) 


了 
( 监控 网 络 状态 和 攻击 事件 ， 查 看 威胁 日 志 ， 分析 防 御 效 果 )— 


调整 行为 信息 过 泽 器 中 的 行为 信息 和 动作 ， 根 据 实际 情况 配置 例外 
行为 信息 或 自 定义 行为 信息 
1 
( 升级 IPS 特 征 库 ) 


4-30 ”IPS 调整 策略 方法 
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入 侵 和 防御 之 间 的 斗争 是 长 期 的 过 程 ,网 络 管理 员 不 能 懈 全 ,必须 密切 关注 网 络 安全 
形势 ,监控 和 分 析 网 络 中 的 入 侵 行 为 ,不 断 调 整 和 优化 IPS 防御 策略 ,这 样 才能 在 最 大 程 
度 上 保证 网 络 的 安全 性 。 

IPS 特性 涉及 多 个 功能 模块 ,需要 这 些 模块 相互 配合 协作 ,如 图 4-31 所 示 。 


安全 策略 


升级 特征 库 “上 一 一 | 「 入 侵 态 箱 本 置 文件 | | 一 配置 自 定义 行为 信息 


查看 威胁 日 志 查看 威胁 日 志 
( 抓 包 分 析 ) (行为 信息 ID) 


4-31 IPS 特性 涉及 的 功能 模块 


IPS 特性 的 主体 配置 是 人 侵 防御 配置 文件 和 安全 策略 。 入 侵 防 御 配 置 文件 中 定义 了 
行为 信息 过 滤器 和 例外 行为 信息 ;安全 策略 中 定义 了 匹配 条 件 ( 对 哪些 流量 进行 IPS 检 
测 ) ,动作 (必须 为 允许 ) ,然后 引用 入 侵 防御 配置 文件 。 

其 他 几 个 功能 模块 的 作用 如 下 : 

(1) 升级 特征 库 可 以 识别 出 更 多 的 人 侵 行 为 ,升级 特征 库 只 会 更 新 预定 义 行为 信息 ， 
不 会 影响 自 定义 行为 信息 。 

(2) 配置 自 定义 行为 信息 ,以 解决 预定 义 行为 信息 未 及 时 更 新 而 导致 的 无 法 识别 和 
防御 某 些 攻击 行为 的 问题 ,增强 网 络 安全 性 。 

(3) 在 入 侵 防 御 配 置 文件 中 开启 抓 包 功 能 后 ,可 以 在 威胁 日 志 中 下 载 包括 入 侵 特 征 
的 数据 包 , 进 一 步 分 析 该 入 侵 行为 。 

(4) 查看 威胁 日 志 , 获 取 行为 信息 ID 加 入 到 例外 行为 信息 中 ,后 续 命 中 该 行为 信息 
的 入 侵 行为 将 会 按照 例外 行为 信息 中 的 动作 进行 处 理 。 


4.5.3 ”入侵 防御 功能 核心 技术 


360 新 一 代 智 慧 防火 墙 的 入 侵 防御 功能 综合 运用 多 种 技术 来 做 到 有 效 检测 并 及 时 阻 
断 人 侵 事 件 的 发 生 。 下 一 代 防 火 墙 通过 以 下 核心 技术 为 用 户 提供 入 侵 防御 服务 。 

1. 流量 学 习 

入 侵 行为 一 般 都 会 与 正常 流量 或 报 文 特征 存在 一 定 的 差异 ,但 人 侵 手法 并 非 一 成 不 
变 , 网 络 黑 客 会 根据 情况 ,不 断 地 变化 人 侵 手 法 ,从 而 试图 绕 过 安全 设备 的 检测 和 阻 断 。 
360 新 一 代 智 慧 防 火 墙 的 入 侵 防 御 功能 可 以 针对 正常 网 络 的 行为 特征 进行 学 习 , 从 而 产 
生 历史 数据 ,一 旦 有 异常 出 现 , 则 能 够 立即 启动 相应 的 安全 策略 ,如 告警 . 阻 断 ` 反 探 等 。 


2. 特征 比 对 
特征 比 对 是 当前 入 侵 防御 最 常用 的 技术 ,是 当前 比较 有 效 和 高 效 的 检测 方法 。360 
企业 安全 集团 拥有 完备 的 特征 库 , 客 户 可 以 选择 在 线 实时 更 新 或 离线 更 新 。 通 常 特征 比 
对 非常 耗费 设备 性 能 , 随 着 特征 规则 中 的 通配符 数量 的 上 升 ,IPS 产品 的 性 能 将 受到 严重 
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的 影响 。360 新 一 代 智慧 防火 墙 的 IPS 功能 充分 利用 防火 墙 本 身 的 良好 性 能 ,使 得 入 侵 
防御 功能 可 以 良好 地 运行 。 


3. 流 分 类 与 检测 

入 侵 检测 一 般 有 两 种 数据 检测 技术 : 基于 文件 的 检测 和 基于 流 的 检测 。 

通常 情况 下 ,基于 单个 报 文 实施 特征 检测 就 可 以 应 付 大 部 分 的 入侵 行为 ,但 是 比较 狭 
独 的 入 侵 行为 往往 将 特征 分 散在 不 同 的 报 文中 ,这 样 基于 单 包 的 检测 则 会 失效 ,这 时 候 就 
要 求 入 侵 防御 系统 缓存 报 文 并 重组 成 文件 实施 检测 。 这 种 技术 的 优点 是 检测 准确 率 较 
高 ,缺点 是 入 侵 防 御 功能 往往 由 于 性 能 不 足 、 实 时 性 较 差 而 成 为 网 络 中 的 瓶颈 。 

而 基于 流 特 征 的 检测 解决 了 基于 文件 检测 的 实时 性 较 差 和 基于 单 包 检测 的 准确 性 较 
差 的 问题 。360 新 一 代 智 慧 防 火 墙 的 入侵 检 测 功 能 结合 自身 ACL 的 高 效 分 流 技 术 和 
Session 的 状态 跟踪 技术 ,通过 跨 包 检测 ,关联 分 析 和 *“ 零 "缓存 技术 ,在 基于 流 的 检测 方面 
取得 了 很 好 的 效果 。 


4. 抗 DDoS 攻击 技术 

360 新 一 代 智 慧 防火 墙 的 入 侵 检测 功能 采用 计算 算法 和 智能 防御 算法 ,对 攻击 行为 
进行 智能 分 析 ,动态 形成 攻击 特征 库 , 可 有 效 防御 SYN Flood、UDP Flood ICMP Flood 
等 二 十 多 种 攻击 ,保障 正常 业务 不 受 影响 。 

360 新 一 代 智慧 防火 墙 的 入 侵 检测 功能 的 抗 DDoS 功能 模块 采用 如 下 几 种 防御 
技术 : 


特征 识别 。 通 过 分 析 网 络 流量 特征 ,与 特征 库 比 对 扫描 ,可 以 有 效 识别 常见 的 
攻击 。 
反 探 校 验 。 在 识别 和 判断 是 否 是 攻击 的 时 候 , 可 以 验证 源 地 址 和 连接 的 有 效 性 ， 
防止 伪造 源 地 址 和 连接 的 攻击 。 
状态 监测 。 支 持 简单 包 过 滤 、 状 态 包 过 滤 和 动态 包 过 滤 ,可 以 分 别 选 用 这 3 种 过 
滤 方 法 ,根据 五 元 组 信息 进行 访问 控制 。 
智能 学 习 。360 新 一 代 智慧 防火 墙 的 入 侵 检 测 功能 的 防御 采用 多 种 算法 ,除了 传 
统 的 统计 丢 包 算法 ,还 通过 智能 学 习 、 关 联 分 析 等 算法 使 得 SYN Flood .UDP 
Flood 等 的 检测 具有 良好 的 效果 。 检 查 通信 过 程 是 否 符合 TCP/IP 协议 的 完整 
性 ,并 对 HTTP、DNS、P2P 等 协议 进行 深度 分 析 ,支持 对 SYN/SYN ACK/ACK 
Flood 攻击 .HTTP Get Flood 攻击 .DNS Query Flood 攻击 、CC 攻击 的 防御 , 支 
持 BT P2P 协议 的 识别 、 阻 断 和 限制 。 
连接 限制 。 支 持 对 具体 IP 地 址 的 并 发 连接 和 新 建 连接 限制 ,可 根据 五 元 组 限制 
并 发 连接 总 数 和 新 建 连接 速率 限制 ,可 防止 大 规模 攻击 和 蠕虫 扩散 的 发 生 。 
流量 控制 。 通 过 内 置 的 QoS 硬件 引擎 ,支持 最 大 带宽 、 保 证 带宽 、 优 先 级 ,从 而 有 
效 地 实施 网 络 资源 的 合理 分 配 。 

360 新 一 代 智 慧 防火 墙 的 入 侵 检测 功能 提供 了 多 种 检测 模式 来 保证 准确 度 , 并 且 在 
不 影响 网 络 性 能 的 前 提 下 ,向 客户 提供 最 佳 保 护 。360 新 一 代 智慧 防火 墙 的 入 侵 检 测 功 
能 使 用 的 检测 模式 有 以 下 两 种 : 
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(1) 状态 检测 (Stateful Detection) 。 许 多 攻击 试图 推翻 通信 协议 状态 。 基 于 多 年 
TCP/IP 的 研究 ,360 入侵 防御 系统 开发 了 一 个 状态 检测 引擎 来 分 析 协 议 状 态 ,并 且 防 止 
畸形 数据 包 攻击 网 络 。 

(2) 基于 特征 库 的 检测 (Signature-based Detection) 。360 新 一 代 智 慧 防火 墙 的 人 侵 
检测 功能 检测 与 防御 针对 应 用 协议 和 脆弱 系统 的 攻击 ,特征 库 中 有 超过 4000 条 攻击 特 
征 。 特 征 库 是 由 网 络 安全 经 验 丰富 的 360 企业 安全 集团 安全 研究 团队 开发 制定 的 。 在 这 
种 模式 下 ,入 侵 防 御 功 能 模块 可 以 进行 漏洞 防御 、 缓 冲 区 溢出 检测 .木马 /后 门 检测 .DoS/ 
DDoS 检测 、Web 攻击 检测 .蠕虫 检测 等 。 

下 一 代 防 火 墙 通过 漏洞 防御 功能 ,配合 安全 策略 ,可 以 对 特定 的 网 络 、 服 务 、 应 用 、 用 
户 进行 识别 ,可 以 对 隐藏 在 正常 数据 中 利用 漏洞 的 异常 行为 进行 阻 断 。 漏 洞 防御 配置 文 
件 在 添加 时 ,只 能 对 漏洞 的 一 级 分 类 设置 针对 整个 类 别 的 处 置 动作 ,用户 如 果 需 要 对 每 一 
个 一 级 分 类 下 的 具体 漏洞 进行 精细 化 的 处 置 时 ,需要 依靠 编辑 漏洞 防御 配置 文件 来 完成 。 

防火 墙 通 过 防 间 谍 软 件 功 能 ,配合 安全 策略 可 针对 木马 后 门 、 病 毒 蠕虫 、 伪 尸 网 络 对 
特定 网 络 、 服 务 、 应 用 、 用 户 进 行 防护 ,可 以 拦截 间谍 软件 的 攻击 行为 。 防 间谍 软件 配置 文 
件 在 添加 时 ,只 能 对 间谍 软件 类 别 的 一 级 分 类 设置 针对 整个 类 别 的 处 置 动作 ,用 户 如 果 需 
要 对 每 一 个 一 级 分 类 下 的 具体 间谍 软件 进行 精细 化 的 处 置 时 , 则 需要 依靠 编辑 防 间谍 软 
件 配置 文件 来 完成 。 


4146 ”病毒 防御 


随 着 互联 网 业务 的 快速 发 展 ,互联 网 中 的 内 容 也 日 趋 复杂 ,网 络 渗透 者 不 再 仅仅 采用 
一 般 的 .单一 的 入 侵 手 段 , 更 多 的 网 络 攻击 结合 了 病毒 等 其 他 攻击 手段 来 全 方位 地 渗透 到 
用 户 内 网 中 ,由 于 计算 机 病毒 本 身 所 具有 的 破坏 性 ,常常 使 用 户 的 计算 机 、 服 务 器 其 至 整 
个 网 络 瘫 痰 ,除了 在 主机 上 安装 病毒 防御 软件 之 外 ,还 需要 在 整个 网 络 的 重点 区 域 及 边界 
区 域 提 供 全 面 而 有 效 的 反 病 毒 及 监控 功能 。 因 此 ,采用 反 病 毒 功能 作为 应 用 层 过 滤 的 一 
个 防护 手段 ,在 下 一 代 防 火 墙 强大 的 性 能 支持 下 ,能 更 加 可 靠 有 效 地 保护 用 户 内 网 环境 。 

360 新 一 代 智慧 防火 墙 搭载 QVM 人 工 智 能 引擎 ,能 预防 90% 以 上 的 加 壳 和 变种 病 
毒 ,并 支持 病毒 云 查 杀 技术 ,可 对 HTTP、FTP、SMTP、POP3 和 IMAP 流量 进行 病毒 查 
杀 。 下 一 代 防 火 墙 支持 通过 HTTP 和 FTP 方式 上 传 .下 载 的 文件 .页 面 或 SMTP、 
POP3 IMAP 协议 发 送 的 电子 邮件 及 其 附件 等 进行 病毒 扫描 ,根据 扫描 结果 进行 相应 的 
处 理 并 留存 病毒 样本 。 除 本 地 及 云端 病毒 库 外 , 自 定义 的 病毒 对 象 可 以 在 反 病毒 策略 中 
被 引用 。 特 殊 情 况 下 ,还 支持 病毒 例外 功能 ,可 将 指定 的 病毒 放 入 白 名 单 中 ,不 进行 处 置 。 


4.6.1 病毒 基本 概念 


传统 防火 墙 不 能 防止 感染 病毒 的 软件 或 文件 传输 ,防火 墙 本 身 并 不 具备 查 杀 病毒 的 
功能 。 下 一 代 防 火 墙 能 够 提供 辅助 决策 的 信息 ,具有 值得 信赖 的 分 析 , 具 有 病毒 防御 的 
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广义 上 的 计算 机 病毒 指 所 有 的 恶意 代码 , 即 为 达到 恶意 目的 而 专门 设计 的 程序 或 代 
码 。 一 切 旨 在 破坏 计算 机 或 者 网 络 系 统 可 靠 性 、 可 用 性 、 安 全 性 和 数据 完整 性 或 者 消耗 系 
统 资源 的 恶意 程序 都 可 以 称 为 病毒 。 随 着 互联 网 的 不 断 发 展 ,木马 程序 成 为 目前 最 常见 
的 恶意 代码 。 

木马 是 指 可 以 非法 控制 他 人 计算 机 或 在 他 人 计算 机 中 从 事 秘密 恶意 活动 的 恶意 程 
序 。 木 马 一 般 不 会 自我 繁殖 ,也 并 不 “刻意 ”地 感染 其 他 文件 或 破坏 系统 。 它 通过 自身 伪 
装 来 吸引 用 户 下 载 执行 ,一 旦 木马 感染 成 功 ,木马 的 控制 者 就 可 以 在 被 感染 主机 上 进行 秘 
密 操 控 ,文件 窃取 、 强 弹 广 告 等 恶意 操作 ,甚至 可 以 完全 远程 操控 被 感染 主机 。 

下 一 代 防 火 墙 要 想 检 测 病毒 ,就 必须 能 识别 出 报 文中 的 文件 。 传 统 防火 墙 具 关注 报 
文 的 网 络 层 信息 ,检测 深度 有 限 ,对 报 文 应 用 层 信息 中 携带 的 文件 无 能 为 力 。 而 下 一 代 防 
火 墙 能 够 深度 识别 报 文 的 应 用 层 信 息 ,为 检测 病毒 提供 了 良好 的 基础 。 

病毒 一 般 通 过 邮件 或 文件 共享 等 协议 进行 传播 ,因此 下 一 代 防 火 墙 可 以 对 HTTP、 
SMTP、POP3 等 多 种 协议 类 型 的 近 百 万 种 病毒 进行 查 杀 ,包括 木马 .蠕虫 . 宏 病毒 .脚本 
病毒 等 ,同时 可 对 多 线程 并 发 ,深层 次 压缩 文件 等 进行 有 效 控制 和 查 杀 。 


4.6.2 ”病毒 检测 


下 一 代 防 火 墙 采用 特征 对 比 的 方式 进行 病毒 检测 。 下 一 代 防 火 墙 提取 文件 特征 ,与 
病毒 特征 库 中 的 特征 进行 匹配 。 如 果 特 征 一 致 , 则 认为 该 文件 为 病毒 文件 ;如 果 特 征 不 一 
致 , 则 认为 该 文件 为 正常 文件 。 因 此 ,病毒 特征 库 中 的 特征 是 否 全 面 、 精 准 \ 有效, 决定 了 
病毒 检测 的 效果 。 由 于 网 络 技术 发 展 迅速 ,每 天 都 在 产生 新 的 病毒 , 原 有 的 病毒 也 会 出 现 
变种 ,所 以 必须 定期 更 新 病毒 特征 库 , 才 能 够 更 好 地 保证 病毒 检测 的 精确 性 。 

下 一 代 防 火 墙 反 病毒 流程 如 图 4-32 所 示 。 


1 1 1 
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| 1 
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| | 
1 1 和 | 
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| I 1 | 
1 1 1 1 1 
1 11 1 1 
| | 合 下 动作 oo | 
进行 全 1 
| 于 ! | ( 克 许 /告警 /但 类 | | 开除 | | 1 
RE 病毒 检测 2 反 病 毒 处 理 “| 
图 4-32 反 病 毒 流程 
对 反 病 毒 流程 说 明 如 下 : 


(1) 流量 经 过 应 用 协议 识别 后 ,如 果 流 量 的 类 型 属于 支持 的 文件 传输 协议 类 型 , 则 进 
行 下 一 环节 处 理 ;否则 不 进行 病毒 检测 。 
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(2) 检测 流量 是 否 命中 白 名 单 ,包括 域名 `.URL、 源 /目的 IP 地 址 或 IP 地 址 段 规则 等 
信息 。 如 果 没 有 命中 ,进行 下 一 环节 处 理 ; 如 果 命 中 , 则 不 进行 病毒 检测 。 如 果 想 对 某 个 
IP 地 址 的 流量 不 进行 病毒 检测 ,就 可 以 把 该 IP 地 址 添加 到 白 名 单 中 。 

(3) 对 流量 中 的 文件 进行 病毒 检测 ,将 文件 特征 与 病毒 特征 库 中 的 特征 进行 匹配 。 
检测 病毒 时 ,下 一 代 防 火 墙 提供 样本 留存 功能 , 当 启 用 该 功能 时 ,命中 病毒 特征 的 文件 或 
程序 等 会 保存 在 防火 墙 的 存储 空间 中 作为 样本 留存 。 

(4) 检测 到 病毒 后 ,下 一 代 防 火 墙 会 判断 该 病毒 文件 是 否 属于 病毒 例外 。 如 果 不 属 
于 病毒 例外 ,进行 下 一 环节 处 理 ; 如 果 属于 病毒 例外 , 则 直接 放行 。 

(5) 判断 病毒 文件 的 应 用 是 否 属于 应 用 例外 ,这 里 的 应 用 指 的 是 承载 于 HTTP 协议 
的 一 些 应 用 ,如 网 盘 、 云 盘 等 ,通过 应 用 例外 可 以 为 应 用 配置 不 同 于 HTTP 协议 的 处 理 动 
作 。 如 果 属 于 应 用 例外 ,按照 应 用 例外 定义 的 动作 进行 处 理 ;如 果 不 属于 应 用 例外 , 则 按 
照 协 议定 义 的 动作 进行 处 理 。 

反 病毒 特性 涉及 多 个 功能 模块 ,需要 这 些 模块 之 间 相 互 配合 协作 ,如 图 4-33 所 示 。 


安全 策略 
反 病 毒 配置 文件 


文件 过 滤 
查看 威胁 日 志 
设置 全 局 参数 ( 抓 包 分 析 ) 


图 4-33 反 病 毒 特 性 涉及 的 功能 模块 


| | 查看 威胁 日 志 


升级 特征 库 ”六 一 一 (病毒 IDD) 


反 病 毒 特 性 的 主体 配置 是 反 病毒 配置 文件 和 安全 策略 。 反 病毒 配置 文件 中 定义 了 协 
议 .传输 方向 和 动作 以 及 病毒 例外 和 应 用 例外 ;安全 策略 中 定义 了 匹配 条 件 ,动作 ,然后 引 
用 反 病 毒 配置 文件 。 

其 他 几 个 功能 模块 的 作用 如 下 : 

(1) 升级 特征 库 可 以 提升 病毒 检测 能 力 和 检测 效率 。 升 级 特征 库 包括 从 云端 下 载 最 
新 的 病毒 信息 以 及 网 络 管理 员 自 定义 病毒 信息 。 

(2) 文件 过 滤 特 性 中 的 全 局 参数 包括 最 大 解压 层 数 、. 最 大 解压 文件 大 小 等 ,合理 设置 
这 些 参数 将 会 提高 病毒 检测 效率 。 文 件 过 滤 也 是 内 容 安全 中 的 一 个 重要 特性 。 

(3) 查看 威胁 日 志 , 如 果 发 现 某 个 文件 被 误 报 为 病毒 文件 ,实际 上 该 文件 是 安全 的 ， 
此 时 可 以 将 该 病毒 的 ID 填写 到 病毒 例外 中 ,下 一 代 防 火 墙 此 后 再 检测 到 这 个 文件 时 就 会 
直接 放行 。 

(4) 在 反 病 毒 配置 文件 中 开启 抓 包 功 能 后 ,可 以 在 威胁 日 志 中 下 载 病毒 数据 包 , 进 一 
步 分 析 病 毒 特征 。 


106 


ee 第 4 章 防火 墙 安全 功能 应 用 mm 


_ 47 SSL 解密 


当 用 户 访问 使 用 HTTPS 的 网 站 时 , 先 和 网 站 建立 SSL 连接 ,然后 才 进 行 应 用 层 数 
据 的 传输 ,而 且 应 用 层 数 据 都 是 经 过 加 密 的 。 对 于 加 密 后 的 信息 ,下 一 代 防 火 墙 无 法 提取 
信息 ,也 就 无 法 进行 处 理 。 此 时 下 一 代 防 火 墙 将 针对 HTTPS 协议 进行 SSL 解密 。 

下 一 代 防 火 墙 通过 替换 证 书 来 建立 客户 端 与 下 一 代 防 火 墙 、 下 一 代 防 火 墙 与 HTTPS 
服务 器 端的 两 个 SSL 连接 ,如 图 4-34 所 示 ,为 了 获得 SSL 加 密 通 信 的 内 容 , 下 一 代 防 火 
墙 需要 获得 加 密 所 使 用 的 会 话 密 钥 。 下 一 代 防 火 墙 采用 的 方法 是 : 以 代理 的 身份 装 成 目 
标 服 务 器 ,向 客户 端 出 示 一 个 伪造 的 同名 服务 器 数字 证 书 , 其 目的 是 使 这 个 伪造 的 证 书 通 
过 客户 端的 检验 ;然后 ,客户 端 就 会 使 用 下 一 代 防 火 墙 的 伪证 书 公 钥 加 密 自己 产生 的 会 话 
密 钥 ,经 过 下 一 代 防 火 墙 向 服务 器 发 送 加 密 的 会 话 密 钥 ;下 一 代 防 火 墙 收 到 使 用 自己 的 公 
钥 加 密 的 会 话 密 钥 后 ,使 用 自己 的 私 钥 即 可 解密 恢复 出 明文 会 话 密 钥 。 下 一 代 防 火 墙 在 
伪装 成 服务 器 与 客户 端 建立 SSL 连接 的 同时 ,会 与 真实 的 服务 器 建立 一 个 正常 的 SSL 连 
接 。 以 后 ,对 于 客户 端 发 出 的 每 个 加 密 的 应 用 级 请 求 ,下 一 代 防 火 墙 都 会 先 SSL 解密 成 
明文 ,再 SSL 加 密 发 送 给 服务 器 。 对 于 服务 器 返回 给 客户 端的 数据 ,下 一 代 防 火 墙 也 是 
照 此 处 理 。 


客户 端 人 ed 真实 服务 器 证 书 ”HTTPS 服 务 器 
9 本 
= 1 天 
版 本 (Version) 版 本 (Version) 
序列 号 (Serial Number) 替换 为 SSL 解 密 序列 号 (Serial Number) 
签名 算法 (Signature Algorithm) -ee 签名 算法 (Signature Algorithm) 
颁发 者 (Issuer) -一 颁发 者 (Issuer) 
有 效 期 (Validity) 有 效 期 (Validity) 
主题 (Subject Name) 替换 为 NGFW 主题 (Subject Name) 
公 钥 信息 (Subject Public Key Info) | 本 地 的 RSA 公 钥 | 公 钥 信息 (Subject Public Key Info) | 
扩展 信息 (Extensions) 使 用 SSL 解 密 扩展 信息 (Extensions) 
签名 (Signature) | | 签名 (Signature) 


图 4-34 SSL 连接 建立 过 程 
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4.8 云 管 端 协 同 联动 


持续 演进 的 网 络 攻击 手段 给 企业 和 用 户 带 来 极 大 的 安全 威胁 ,如 由 大 规模 隐蔽 性 强 
的 僵尸 网 络 发 起 的 DoS/DDoS 及 高 级 持续 性 威胁 (APT) 等 高 级 威胁 ,还 有 各 种 未 知 的 
0day 漏洞 的 攻击 等 。 传 统 的 网 络 安全 防护 体系 已 渐渐 无 法 应 对 这 种 复杂 多 变 的 安全 挑 
战 , 云 管 端 突破 了 传统 网 络 安全 防护 体系 的 局 限 性 ,可 以 较 好 地 应 对 未 知 威胁 和 高 级 
威胁 。 


4.8.1 云 管 端 概述 


云 管 端 是 一 种 立体 的 安全 防护 解决 方案 , 云 、 管 .端的 含义 如 下 。 

“ 云 " 是 一 个 安全 云 服 务 平台 ,不 仅 能 够 提供 云 沙 箱 、 云 查 杀 、 云 信誉 评估 等 基础 服务 ， 
还 能 针对 终端 和 边界 设备 上 传 的 异常 日 志 进 行 全 局 关联 分 析 、 异 常 行为 建 模 分 析 ,使 溯源 
取证 与 风险 预测 可 视 化 。 例 如 ,360 的 天 御 云 是 360 企业 安全 集团 推出 的 基于 大 数据 的 
云端 产品 。 

“ 管 ?可 理解 为 泛 化 的 网 络 边界 (内 网 边界 和 互联 网 边界 ) ,除了 部 署 对 外 的 防御 设备 
(如 360 新 一 代 智慧 防火 墙 .360 上 网 行为 管理 设备 和 360WAF 设备 等 ) ,还 应 在 内 网 中 部 
署 行为 审计 设备 ,加 强 内 部 人 员 违 规 行 为 监控 。 

“ 端 ? 指 终端 设备 ,包括 PC、 服务器、 智能 移动 终端 等 设备 ,是 距离 应 用 系统 和 数据 最 
近 的 设备 ,是 重要 的 风险 引入 点 ,因此 需要 在 终端 部 署 杀毒 和 管控 策略 ,例如 360 天 擎 终 
端 安全 管理 系统 (以 下 简称 360 天 擎 ) 。360 新 一 代 智 慧 防 火 墙 和 360 天 擎 联动 以 结合 边 
界 防护 和 终端 防护 各 自 的 优势 ,使 得 终端 的 安全 状况 直接 与 其 网 络 访问 权限 相 挂钩 ,更 精 
细 地 对 用 户 网 络 访问 权限 进行 管控 。 具 体 原理 如 图 4-35 所 示 。 

360 天 擎 支持 对 PC 终端 进行 扫描 ,并 对 其 安全 性 进行 综合 评定 。 然 后 将 终端 扫描 
结果 发 送 到 防火 墙 。 防 火 墙 支持 与 360 天 擎 系统 进行 联动 ,根据 360 天 擎 对 终端 的 综合 
评定 ,并 结合 安全 策略 ,控制 终端 的 网 络 行为 。 

边界 安全 为 终端 和 云 服务 平台 提供 了 一 个 可 靠 的 “桥梁 ”。 内 网 边界 是 针对 企业 内 部 
专用 网 络 的 边界 ,利用 感知 系统 和 终端 准 入 控制 企业 内 部 用 户 权 限 ,获取 PC 端 或 服务 器 
端的 异常 信息 ,对 获取 的 数据 进行 关联 分 析 ,将 分 析 检 测 结果 发 送 到 用 户 终端 以 抑制 恶意 
行为 的 发 生 。 

互联 网 边界 作为 “网 络 大 门 ”, 承 载 着 所 有 访问 互联 网 的 进出 流量 。 互 联网 边界 安全 
需要 解决 “内 忧 外 患 ” 的 问题 ,对 内 要 规范 企业 员工 合 规 上 网 的 问题 ,对 外 要 防御 来 自 外 部 
的 攻击 行为 ,保护 企业 ERP、OA、CRM .企业 邮箱 等 重要 业务 系统 的 正常 运行 。 因 此 , 互 
联网 边界 安全 是 企业 安全 防护 体系 的 重要 阵地 。 例 如 360 新 一 代 智 慧 防火 墙 是 一 款 创新 
型 边界 安全 产品 , 兼 具 复杂 环境 组 网 .深度 应 用 识别 、 精 细 化 访问 控制 以 及 高 性 能 应 用 层 
威胁 防御 等 能 力 ,并 集成 了 互联 网 威胁 情报 .异常 行为 分 析 、 安 全 可 视 化 等 新 一 代 安 全 技 

108 


eee 第 4 章 防火 墙 安 全 功能 应 用 mm 


-一 -一 扫描 结果 下 发 
-一 一 一 360 天 擎 终端 扫描 
一 一 一 用 户 数 据 流 


图 4-35 360 天 擎 终端 安全 管理 系统 管控 原理 
术 , 可 为 多 分 支 企 业 提 供 一 体 化 的 安全 组 网 和 边界 防护 解决 方案 。 


4.8.2 云 管 端 动态 协同 防御 


云 管 端 协同 联动 是 下 一 代 网 络 安全 架构 区 别 于 传统 安全 架构 的 核心 能 力 ,3 个 环节 
彼此 依赖 ,协同 防御 。 云 管 端 协同 联动 过 程 如 图 4-36 所 示 。 

首先 在 终端 安全 防护 方面 ,终端 设备 在 遇 到 未 知 威胁 或 异常 样本 时 ,通过 云 查 杀 获得 
分 析 结 果 ,能 够 及 时 更 新 本 地 的 防护 策略 。 终 端 设备 无 论 访问 内 网 中 的 资源 还 是 互联 网 
上 的 资源 ,都 需 与 边界 设备 联动 ,严格 按照 边界 设备 的 防护 策略 进行 控制 ;边界 设备 实时 
将 安全 日 志 、 异 常 行为 日 志 、 灰 度 URL 样本 、 异 常 流量 日 志 上 传 至 云端 ; 云 平台 能 够 提供 
实时 云 信 誉 查询 服务 ,还 能 够 利用 外 部 威胁 情报 、 终 端 和 边界 设备 的 异常 日 志 进行 大 数据 
分 析 , 发 出 攻击 预测 报警 ,实现 云 管 端 智能 协同 、 主 动 防御 。 

360 天 擎 具有 终端 安全 防御 、 云 端 公有 /私有 云 查 杀 的 功能 特性 ,与 360 天 眼 和 360 
天 机 相 结合 , 便 可 以 构成 云 管 端的 整体 防御 体系 。 通 过 在 网 络 边界 .终端 系统 部 署 查 杀 设 
备 与 查 杀 软件 ,同时 结合 云端 查 杀 的 多 点 立体 布防 ,可 实现 对 已 知 病毒 及 恶意 代码 .未 知 
病毒 及 恶意 代码 、 利 用 已 知 漏洞 和 0day 漏洞 (未 知 漏洞 ) 发 起 的 攻击 渗透 乃至 利用 上 述 技 
术 手 段 发 起 的 APT 攻击 行为 进行 深度 检测 与 精确 阻 断 ,从 空间 维度 上 做 到 立体 布防 , 层 
层 防御 。 


m= 109 mm 


FE 防火墙 技术 及 应 用 FE 


主机 亲 毒 /主机 防护 


移动 设备 /应 用 /内 容 
四 四 上 征 库 更 新 上 1 


臣 巴 二 久富 过 时 


图 4-36 云 管 端 协同 联动 过 程 


49 基于 网 络 的 检测 与 响应 


近年 来 , 随 着 信息 价值 的 不 断 提升 ,企业 的 数据 面临 越 来 越 多 的 安全 威胁 ,但 传统 的 
安全 手段 用 来 解决 已 知 威胁 的 方式 并 不 能 真正 保护 用 户 的 数据 安全 。 高 级 威胁 往往 可 以 
利用 合 规 数据 绕 过 传统 的 各 种 安全 防御 手段 并 成 功 窃取 数据 。 因 此 ,用 户 迫 切 需 要 一 个 
新 的 安全 体系 来 对 未 知 威胁 进行 防范 与 跟踪 。 相 对 于 传统 安全 体系 而 言 ,360 新 一 代 智 
慧 防 火 墙 不 断 补 充 传统 安全 性 能 及 精准 度 ,提升 已 知 威胁 识别 效率 ,同时 结合 360 大 数据 
挖掘 技术 及 360 在 数据 安全 分 析 中 的 积累 ,建立 了 由 大 数据 驱动 ,基于 网 络 的 检测 与 响应 
(简称 NDR) 的 体系 。 从 而 针对 未 知 威胁 形成 了 一 套 基于 互联 网 及 用 户 自身 网 络 的 动态 
数据 检测 ,动态 行为 检测 动态 处 置 响应 的 防御 闭环 。 


4.9.1 NDR 的 基础 一 一 数据 驱动 


数据 驱动 安全 ,需要 本 地 数据 与 外 部 数据 支持 ,如 果 仅 有 本 地 数据 ,很 难 找 出 异常 。 
只 有 用 本 地 数据 与 来 源 更 为 广泛 的 外 部 安全 大 数据 对 比 ,才能 发 现 问 题 。 多 维度 的 本 地 
数据 和 外 部 数据 关联 分 析 能 够 为 数据 回溯 提供 支撑 ,为 最 后 的 处 置 响应 提供 威胁 检测 
依据 。 


1. 本 地 数据 的 获取 
本 地 数据 是 依赖 设备 本 身 的 应 用 识别 能 力 、 用 户 识别 能 力 、 内 容 识 别 能 力 、 威 胁 识 别 
能 力 及 资产 识别 能 力 产 生 的 。 目 前 可 获得 的 本 地 数据 类 型 包括 流量 数据 (五 元 组 、 源 用 
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户 \、 地 理 位 置 、 应 用 名 称 、 应 用 分 类 、 应 用 风险 、 收 发 流量 、 会 话 条 数 , 源 目 资产 )、 域 名 数据 
(域名 、 解 析 地 址 .DNS 类 型 CNAME 分类)、URL 数据 (URL 分 类 、 子 分 类 、 目 的 国家 、 
资产 类 型 ) .威胁 数据 (威胁 名 称 、 威 胁 类 型 .持续 时 间 严重 性 、 攻 击 者 、 受 害 者 、 命 中 数 、. 样 
本 MD5 检测 方式 )` 行 为 数据 (行为 协议 ` 行 为 类 型 .动作 .时 间 )、 传 送 数据 (文件 名 称 、 文 
件 类 型 .内 容 类 型 .关键 字 ) 及 邮件 数据 (邮件 主题 ,发 件 人 、 收 件 人 、 抄 送 ) 等 ,如 图 4-37 所 
示 。 举 例 来 说 ,一 般 的 下 一 代 防 火 墙 对 网 络 数据 进行 判别 后 ,会 形成 20 多 类 行为 数据 ,而 
360 新 一 代 智慧 防火 墙 则 会 形成 50 一 60 类 。 


; 威胁 数据 
*， 五 元 组 ， 威胁 名 称 
， 源 用 户 ， 威胁 类 型 
， 地 理 位 置 应 用 识别 。” 用 户 识别 内容 识别 ， 持 续 时 间 
。 应 用 名 称 4 ， 严 重 性 

， 应 用 分 类 | ， 攻击 者 

， 应 用 风险 ， 受 害 者 

， 收发 流量 ， 命 中 数 
。 会话 条 数 威胁 识别 资产 识别 样本 MD5 
， 源 目 资 产 ， 检 测 方式 


邮件 数据 。 “传送 数据 。 行为 数据 
， 邮 件 主题 “| 。 文件 名 称 | |* 行为 协议 


， 发 件 人 ， 文 件 类 型 。 ， 行 为 类 型 
， 收 件 人 ， 内 容 类 型 。 。 动作 
， 抄 送 ， 关键 字 * 时 间 


4-37 本 地 数据 的 类 型 


2. 外 部 数据 的 利用 

外 部 数据 是 指 除 本 地 设备 产生 的 数据 以 外 的 数据 ,如 安全 云端 提供 特征 库 升 级 数据 、 
病毒 云 查 杀 结果 、 情 报 对 撞 结 果 ( 防 火 墙 上 传 日 志 、 推 送 情报 ), 以 及 威胁 感知 系统 或 沙 箱 
检测 提供 的 安全 防护 策略 等 。 


4.9.2 安全 问题 发 现 


目前 360 新 一 代 智慧 防火 墙 对 安全 威胁 问题 的 发 现 技术 主要 有 威胁 签名 检测 、 威 胁 
情报 对 撞 匹 配 、 异 常 行为 建 模 分 析 、 可 疑 文件 沙 箱 检 测 和 终端 恶意 特征 协同 等 。 


1. 威胁 签名 检测 

威胁 签名 用 于 描述 检测 威胁 所 需要 的 特征 。 当 一 种 威胁 被 发 现 以 后 ,签名 研究 人 员 
会 基于 具体 的 威胁 签名 提取 这 个 威胁 的 特征 。 

所 谓 基于 具体 威胁 ,就 是 指 一 个 威胁 出 现 后 ,研究 人 员 专 门 针对 这 个 威胁 的 特征 来 编 
写 签 名 。 这 类 签名 能 够 防御 的 范围 非常 狭窄 ,往往 只 能 防御 一 种 特定 的 威胁 。 要 躲 开 这 
样 的 签名 非常 容易 ,只 要 修改 威胁 中 的 特定 字符 串 就 行 了 。 举 一 个 简单 的 例子 ,如 果 有 一 
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个 签名 寻找 FUBAR123 这 个 特定 字符 串 ,那么 只 要 修改 一 些 大 小 写 或 者 数字 ,比如 fU- 
BAR124, 原 先 的 签名 就 失效 了 。 如 果 签 名 是 基于 某 种 特定 的 威胁 ,那么 攻击 者 只 要 稍微 
修改 一 下 这 个 模式 ,就 能 完全 躲 开 检测 了 。 基 于 具体 威胁 的 签名 开发 周期 非常 短 ,对 研究 
人 员 的 技能 要 求 也 较 低 ,这 使 得 厂商 能 够 在 很 短 时 间 内 响应 突 发 的 新 型 攻击 。 


2. 威胁 情报 的 利用 

如 今 , 多 数 企业 已 经 意识 到 ,威胁 情报 是 针对 高 级 网 络 攻击 的 有 力 武器 。 根 据 Gart- 
ner 分 析 师 Rob McMillan 和 Khusbu Pratap 的 调查 ,到 2018 年 ,全球 60% 的 大 型 企业 将 
使 用 商用 威胁 情报 服务 帮助 自己 制定 安全 策略 。 

威胁 情报 (Threat Intelligence, TD 是 一 种 基于 证 据 的 描述 威胁 的 一 组 关联 的 信息 ， 
包括 威胁 相关 的 环境 信息 .威胁 采用 的 手法 和 机 制 . 指 标 、 影 响 以 及 行动 建议 等 。 与 传统 
的 单 维度 病毒 库 或 信誉 库 不 同 ,威胁 情报 包括 一 系列 关于 攻击 或 威胁 的 信息 ,可 以 了 解 威 
胁 的 全 貌 , 并 可 以 抽象 成 可 机 读 威胁 情报 (Machine-Readable Threat Intelligence, MR- 
TD ,用 于 制定 应 对 决策 ,并 对 威胁 进行 响应 。 

根据 Gartner 的 定义 ,威胁 情报 是 一 种 基于 证 据 的 知识 ,包括 上 上 下文、 机制、 指示 标 
记 、 启 示 和 可 行 的 建议 。 威 胁 情报 描述 了 现存 的 或 者 即将 出 现 的 针对 资产 的 威胁 或 危险 ， 
并 可 以 用 于 通知 主体 针对 相关 威胁 或 危险 采取 某 种 响应 。 

Gartner 给 出 的 是 一 个 理想 化 的 定义 ,对 威胁 情报 应 该 包含 的 信息 提出 了 明确 的 要 
求 ,可 以 认为 是 广义 的 威胁 情报 。 事 实 上 ,对 于 一 般 的 企业 ,从 外 部 威胁 情报 供应 商 所 能 
获得 的 威胁 情报 指 的 是 入 侵 指 示 标 记 (Indicator Of Compromise,IOC) ,典型 的 IOC 有 文 
件 Hash IP 地 址 ,域名 程序 运行 路 径 、 注 册 表 项 等 。IOC 可 以 让 用 户 了 解 威胁 的 全 貌 ， 
而 且 IOC 数据 可 以 被 网 络 安 全 设备 和 主机 安全 软件 读 取 和 使 用 。 

本 地 数据 和 外 部 数据 的 利用 ,意味 着 大 量 威胁 情报 的 产生 。 基 于 威胁 情报 ,可 以 实施 
更 有 针对 性 的 威胁 检测 和 更 及 时 的 安全 响应 。 具 体 的 情报 利用 流程 如 下 : 

(1) 定向 : 情报 定义 。 

(2) 收集 : 从 多 种 开放 或 封闭 的 源 收集 本 地 数据 和 外 部 数据 。 

(3) 处 理 : 进行 情报 可 靠 性 的 评估 ,核对 多 个 源 (数据 来 源 ) 。 

(4) 分 析 : 判断 此 情报 的 意义 ,评估 情报 的 重要 性 ,推荐 相应 措施 。 

(5) 传递 : 将 情报 传递 给 终端 。 

(6) 反馈 : 依照 需求 调整 策略 ,及 时 对 设备 终端 进行 安全 响应 。 

目前 威胁 情报 主要 用 途 有 : 在 出 口 处 (如 防火 墙 ) 拦 截 恶 意 域 或 IP 地 址 ;为 调查 或 事 
件 评 估 提 供 上 下 文 ;检查 DNS 服务 器 日 志 , 以 发 现 恶意 域 或 IP 地 址 ;异常 行为 建 模 分 析 。 

沙 箱 是 完全 隔离 的 、 轻 量 的 虚拟 化 技术 程序 ,允许 用 户 在 虚拟 环境 中 运行 浏览 器 或 其 
他 程序 ,因此 运行 所 产生 的 变化 可 以 随后 复原 。 它 创造 了 一 个 类 似 沙 箱 的 独立 作业 环境 ， 
在 其 内 部 运行 的 程序 并 不 能 对 硬盘 产生 永久 性 的 影响 。 沙 箱 是 一 个 独立 的 虚拟 环境 ,可 
以 用 于 测试 不 受信 任 的 应 用 程序 或 上 网 行为 。 

360 云 沙 箱 检测 服务 首次 将 传统 威胁 防御 技术 与 高 级 威胁 防御 技术 相 结 合 。 用 户 只 
要 在 360 新 一 代 智 慧 防火 墙 . 下 一 代入 侵 检测 系统 上 增加 订阅 云 沙 箱 检测 服务 , 即 可 轻松 
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拥有 恶意 软件 防御 能 力 。360 云 沙 箱 检测 服务 通过 静态 启发 式 技术 和 动态 虚拟 执行 环境 
检测 技术 ,动静 结合 ,可 实现 每 天 百 万 级 文件 检测 量 。 用 户 通 过 在 线 订阅 该 服务 ,可 以 快 
速 获取 全 球 最 新 威胁 情报 及 在 线 专业 安全 服务 支持 ,实现 高 危 样 本 的 深度 检测 。 云 沙 箱 
检测 服务 仅 为 硬件 沙 箱 成 本 的 1/5, 大 大 降低 总 拥有 成 本 (TCO) 和 后 期 本 地 维护 费用 。 
同时 , 云 沙 箱 检 测 服务 将 企业 部 署 时 间 缩 短 到 1 天 以 内 ,降低 了 企业 IT 环境 数据 泄露 
风险 。 


4.9.3 ”分析 与 响应 中 心 


为 了 尽 可 能 了 解 一 个 威胁 带 来 的 所 有 危害 ,可 通过 对 设备 的 应 用 威胁、IP 地 址 或 用 
户 进行 多 维度 的 关联 分 析 , 查 询 与 这 个 设备 相关 的 所 有 信息 。 例 如 ,通过 递 进 式 的 查询 ， 
快速 钻 取 某 类 威胁 的 相关 信息 ,包括 这 类 威胁 的 载体 是 哪 种 应 用 , 谁 发 起 了 这 类 威胁 , 谁 
遭受 了 这 类 威胁 ,等 等 。 把 分 析 的 结果 关联 到 的 日 志 上 ,日 志 信 息 中 含有 威胁 有 关 的 应 用 
ID 用户 ID 和 内 容 ID, 但 更 重要 的 是 ,通过 关联 日 志 可 把 流量 经 过 设备 各 功能 模块 检测 
时 所 产生 的 信息 关联 起 来 ,从 而 回溯 攻击 的 全 过 程 ,分 析 问 题 所 在 。 

当 发 现 , 分 析 工 作 做 扎实 后 ,处 置 将 自然 而 然 变 得 简单 、 高 效 。360 新 一 代 智慧 防火 
墙 提供 了 处 置 响应 的 配置 接口 ,包括 以 下 3 点 : 

(1) 处 置 受害 IP 地 址 : 即 隔离 这 个 IP 地 址 所 有 的 网 络 访问 。 

(2) 处 置 IOC: 即 阻 断 所 有 IP 地 址 访问 这 个 已 确认 的 攻击 源 。 

(3) 事件 告警 : 即 在 检测 到 安全 威胁 信息 时 向 终端 发 出 警告 ,提醒 终端 用 户 及 时 更 
新 漏洞 补丁 ,预防 0day 漏洞 产生 的 未 知 威胁 。 


410 ”安全 运 维 管 理 


在 防火 墙 安全 运 维 管理 中 ,无论 是 自身 设备 的 安全 管理 ,还 是 辅助 其 他 设备 进行 安全 
管理 ,如 日 志 分 析 、 统 计 报 表 分 析 等 ,都 在 防火 墙 中 有 至 关 重 要 的 作用 。 本 节 从 运 维 管理 、 
安全 审计 、 高 可 用 性 3 个 方面 对 防火 墙 安全 运 维 管理 进行 介绍 。 


4.10.1 运 维 管理 


防火 墙 的 运 维 管理 是 指 对 自身 设备 的 安全 管理 ,是 保障 防火 墙 正常 、 安 全 运行 ,保护 
网 络 边界 安全 的 重要 条 件 。 

防火 墙 应 支持 对 授权 管理 员 的 口令 鉴别 方式 ,并 保证 口令 设置 满足 安全 要 求 。 防 火 
墙 应 在 所 有 授权 管理 员 .可 信 主 机 、 主 机 和 用 户 请 求 执行 任何 操作 之 前 ,对 每 个 授权 管理 
员 、 可 信 主 机、 主机 和 用 户 进行 唯一 的 身份 鉴别 。 此 外 ,防火 墙 还 需要 区 分 管理 员 角 色 , 为 
不 同 的 管理 员 角 色 分 配 不 同 的 管理 权限 。 

360 新 一 代 智慧 防火 墙 支持 超级 管理 员 、 策 略 管理 员 和 审计 管理 员 三 权 分 立 管理 ,不 
同 的 管理 员 拥 有 不 同 的 管理 权限 。 此 外 ,智慧 防火 墙 还 支持 自 定义 管理 员 权限 。 
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4.10.2 安全 审计 


安全 审计 是 指 对 设备 中 与 安全 有 关 的 活动 的 相关 信息 进行 识别 .记录 、 存 储 和 分 析 。 
安全 审计 的 记录 用 于 检查 网 络 上 发 生 了 哪些 与 安全 有 关 的 活动 。 

防火 墙 的 安全 审计 功能 应 记录 被 防火 墙 策略 允许 和 禁止 的 访问 请 求 ` 试 图 登录 防 
火 墙 设备 管理 端口 和 管理 身份 鉴别 请 求 . 防 火 墙 重要 管理 配置 操作 请 求 及 检测 到 的 攻 
击 行为 等 事件 ,并 将 事件 发 生 的 具体 时 间 、 事 件 主体 及 攻击 事件 的 详细 描述 以 日 志 形 
式 存储 ,以 此 来 记录 设备 中 的 异常 事件 ,为 事故 处 理事 件 关 联 、 入 侵 检测 等 诊断 提供 
帮助 。 

日 志 分 析 可 分 为 人 工 日 志 分 析 和 自动 化 日 志 分 析 两 类 。 人 工 日 志 分 析 要 求 运 维 人 员 
每 天 在 固定 时 间 以 固定 的 时 间 长 度 手工 检索 和 分 析 日 志文 件 , 人 工 日 志 分 析 单 调 乏 味 , 业 
务 性 强 。 自 动 化 日 志 分 析 是 指 设备 对 自身 日 志 进 行 分 析 并 将 分 析 结 果 展 示 给 设备 用 户 。 
此 外 ,还 可 将 设备 和 日 志 分 析 与 管理 设备 关联 ,将 日 志文 件 发 送 给 功能 更 强 的 日 志 分 析 与 
管理 设备 进行 分 析 处 理 。 

防火 墙 的 安全 审计 功能 应 提供 对 日 志 的 统计 分 析 和 生成 日 志 报 表 的 功能 ,日 志 报表 
的 目的 是 将 防火 墙 近期 所 收集 和 分 析 的 结果 以 报表 的 形式 呈现 给 设备 管理 员 ,使 其 了 解 
近期 网 络 的 基本 情况 ,对 未 来 的 发 展 有 一 定 的 规划 。 日 志 报 表 有 预定 义 报表 和 自 定义 报 
表 两 类 。 预 定义 报表 是 设备 设置 的 通用 报表 ,不 允许 用 户 对 其 进行 添加 、 修 改 和 删除 ;而 
自 定义 报表 允许 用 户 根据 自身 需求 对 报表 结构 进行 添加 、 修 改 等 。 

360 新 一 代 智慧 防火 墙 提供 了 网 络 分 析 、 威 胁 分 析 、 阻 断 分 析 、 日 志 输 出 、 统 计 分 析 等 
安全 审计 功能 。 

(1) 网 络 分 析 。 以 应 用 程序 .用户 .IP 地 址 .国家 /地 区 为 主 视角 ,通过 字 节 数 、 会 话 、 
威胁 、 内 容 .URL 5 个 维度 排名 统计 ,展示 用 户 网 络 当前 的 活动 状态 及 策略 使 用 情况 , 定 
位 网 络 中 的 异常 行为 。 

(2) 威胁 分 析 。 以 威胁 活动 ,访问 恶意 URL 的 主机 、 访 问 恶意 域名 的 主机 等 为 主 视 
角 ,关注 防火 墙 捕 提 到 的 网 络 中 的 高 级 威胁 行为 。 从 而 判断 内 网 中 是 否 有 主机 已 经 失陷 ， 
或 防火 墙 当前 的 安全 策略 是 否 存在 安全 漏洞 。 

(3) 阻 断 分 析 。 通 过 展示 应 用 、 用 户 、 威 胁 、 内 容 、 域 名 、URL 的 阻 断 事件 ,帮助 用 户 
判断 网 络 中 的 恶意 行为 及 有 问题 的 用 户 以 及 安全 策略 中 是 否 存 在 误 拦截 正常 行为 的 
情况 。 

(4) 日 志 输 出 。 支 持 流量 日 志 、 威 胁 日 志 、 域 名 日 志 、URL 过 滤 日 志 、 邮 件 过 滤 日 志 、 
行为 日 志 等 多 维度 中 文 可 视 化 分 析 和 日 志 外 发 ,并 支持 基于 IP 地 址 、 用 户 、 接 口 、 地 区 、 应 
用 等 多 种 过 滤 条 件 模糊 搜索 指定 时 间 段 内 的 历史 日 志 。 

(5) 统计 分 析 。 支 持 按 应 用 、IP 地 址 ,用户 等 类 型 对 指定 时 间 范 围 内 的 字 节 数 、 会 话 
数 进行 排序 ,支持 基于 接口 ,安全 域 的 新 建 连接 数 、 并 发 连接 数 的 历史 统计 ,支持 基于 网 络 
中 的 流量 趋势 及 增长 应 用 .下 降 应 用 、 带 宽 消耗 .威胁 的 排行 统计 ,并 支持 威胁 地 图 ,帮助 
用 户 了 解 网 络 中 基于 地 理 位 置 的 威胁 分 布 。 
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4.10.3 高 可 用 性 


高 可 用 性 (High Availability, HA) 是 保证 业务 连续 性 的 有 效 解决 方案 ,一 般 有 两 个 
或 两 个 以 上 的 节点 , 且 分 为 活动 节点 及 备用 节点 。 通 常 把 正在 执行 业务 的 节点 称 为 活动 
节点 ,而 作为 活动 节点 的 备份 的 节点 则 称 为 备用 节点 。 当 活动 节点 出 现 问题 ,导致 正在 运 
行 的 业务 (任务 ) 不 能 正常 运行 时 ,备用 节点 就 会 侦 测 到 这 一 情况 ,并 立即 接续 活动 节点 来 
执行 业务 ,从 而 实现 业务 不 中 断 或 短暂 中 断 。 

高 可 用 性 是 通过 系统 的 可 靠 性 (reliability) 和 可 维护 性 (maintainability) 来 度量 的 。 
通常 用 平均 无 故障 时 间 (Mean Time To Failure, MTTF) 来 度量 系统 的 可 靠 性 ,用 平均 维 
修 时 间 (Mean Time To Repair, MTTR) 来 度量 系统 的 可 维护 性 。 

高 可 用 性 可 防止 网 络 中 由 于 单个 防火 墙 的 设备 故障 或 网 络 故 障 导 致 网 络 中 断 , 保 证 
网 络 服务 的 连续 性 和 安全 强度 。 目 前 ,高 可 用 性 功能 已 经 是 防火 墙 的 一 个 重要 组 成 部 分 。 


1. 双 机 热 备 

防火 墙 高 可 用 性 也 称 双 机 热 备 , 指 基于 两 台 设备 的 高 可 用 性 。 双 机 热 备 工作 中 的 切 
换 模式 可 分 为 A-P(Active-Passive, 主 - 备 ) 模 式 与 A-A(Active-Active, 主 - 主 ) 模 式 。 

1) A-P 模 式 

A-P 模 式 是 指 一 台 设 备 处 于 某 种 业务 激活 状态 (工作 机 ), 另 一 台 设备 处 于 该 业务 的 
备用 状态 (备用 机 )。 系 统 在 正常 情况 下 ,工作 机 为 系统 提供 支持 ,备用 机 监视 工作 机 的 运 
行情 况 。 当 工作 机 出 现 异常 ,不 能 支持 系统 正常 运行 时 ,备用 机 则 主动 接管 工作 机 的 工 
作 ,继续 支持 系统 的 运行 ,从 而 保证 系统 不 间断 运行 ,不 中 断 业 务 。 当 工作 机 修复 后 再 切 
换 回来 。 如 图 4-38 所 示 ,工作 机 和 备用 机 通过 心跳 线 连接 ,备用 机 实时 监视 工作 机 的 情 
况 , 当 工作 机 出 现 问 题 ,备用 机 就 接管 工作 。 


图 4-38 ” 主 - 备 模式 
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在 这 个 状态 下 ,一 个 防火 墙 响 应 ARP 请 求 ,并 且 转 发 网 络 流量 ; 另 一 个 防火 墙 处 于 
备用 状态 ,不 响应 ARP 请 求 , 也 不 转发 网 络 流量 。 主 备 之 间 同 步 状 态 信息 。 当 工作 防火 
墙 宕 机 或 网 线 故障 时 ,进行 主 备 切换 。 

防火 墙 双 机 热 备 功能 最 大 的 特点 在 于 提供 一 条 专门 的 备份 通道 ,用 于 两 个 防火 墙 之 
间 协 商 主 备 状态 以 及 备份 会 话 、Server-map 表 等 重要 的 状态 信息 和 配置 信息 。 双 机 热 备 
功能 启动 后 ,正常 情况 下 ,两 个 防火 墙 会 根据 管理 员 的 配置 分 别 成 为 工作 设备 和 备用 设 
备 。 成 为 工作 设备 的 防火 墙 会 处 理 业务 ,并 将 设备 上 的 会 话 .Server-map 表 等 重要 状态 
信息 以 及 配置 信息 通过 备份 通道 实时 同步 给 备用 设备 。 成 为 备用 设备 的 防火 墙 不 会 处 理 
业务 ,只 是 通过 备份 通道 接收 来 自 工作 设备 的 状态 信息 和 配置 信息 。 

2) A-A 模式 

A-A 模式 也 称 双 主 模式 ,是 指 两 种 不 同业 务 分 部 在 两 台 工 作 机 上 互 为 主 备 状态 。 在 
正常 情况 下 ,两 台 工作 机 均 为 系统 提供 支持 ,并 互相 监视 对 方 的 运行 情况 。 当 一 台 工 作 机 
出 现 异常 ,不 能 支持 系统 正常 运行 时 , 另 一 台 工作 机 则 主动 接管 异常 机 的 工作 ,继续 支持 
系统 的 运行 。 这 样 就 保证 了 系统 不 间断 运行 ,达到 永 不 停机 的 目的 。 异常 机 经 过 维修 恢 
复 正 常 后 再 继续 运行 。 如 图 4-39 所 示 ,两 台 工 作 机 都 参与 工作 ,并 且 通 过 心跳 线 实时 监 
视 对 方 , 保 证 系统 正常 运行 。 


图 4-39 双 主 机 模式 


A-A 模式 下 ,两 个 防火 墙 并 行 工作 ,都 响应 ARP 请 求 ,并且 都 转发 网 络 流量 ; 双 机 之 
间 同 步 状 态 信息 , 当 一 个 防火 墙 宕 机 或 网 线 故 障 时 ,进行 切换 ,由 另 一 防火 墙 转发 网 络 流 
量 。A-A 模式 可 以 提高 数据 包 处 理 的 吞吐 量 ,平衡 网 络 负载 ,优化 网 络 性 能 。 


2. 双 机 热 备 原理 
防火 墙 的 双 机 热 备 功能 是 在 虚拟 路 由 宛 余 协议 (Virtual Router Redundancy Proto- 
col,VRRP) 的 基础 上 扩展 而 来 的 。VRRP 是 一 种 容错 协议 , 它 保 证 当主 机 的 下 一 跳 路 由 
器 出 现 故 障 时 ,由 备份 路 由 器 自动 代替 出 现 故障 的 路 由 器 完成 报 文 转 发 任务 ,从 而 保持 网 
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络 通信 的 连续 性 和 可 靠 性 。 

如 图 4-40 所 示 ,将 局 域 网 内 的 一 组 路 由 器 划分 为 一 个 VRRP 备份 组 ,相当 于 一 台 虚 
拟 路 由 器 ,这 台 虚 拟 路 由 器 有 自己 的 虚拟 IP 地 址 和 虚拟 MAC 地 址 。 所 以 局 域 网 内 的 主 
机 可 以 将 默认 网 关 设置 为 VRRP 备份 组 的 虚拟 IP 地 址 。 在 局 域 网 内 的 主机 看 来 ,它们 
就 是 与 虚拟 路 由 器 进行 通信 的 ,然后 通过 虚拟 路 由 器 与 外 部 网 络 进行 通信 。 


ROOT Router2 


Backup 路 由 器 
kt 优先 级 100 
虚拟 路 由 器 GE 1/0/1 GE 1/0/1 
(VRRP 备 份 组 1) 10.1.1.1/24 10.1.1.2/24 


虚拟 耳 地址 : 10.1.1.3/24 
虚拟 MAC 地 址 : 00-00-5E-00-01-01 


4-40 VRRP 备 份 组 


VRRP 备份 组 中 的 多 个 路 由 器 会 根据 管理 员 指 定 的 VRRP 备份 组 优先 级 确定 各 自 
的 VRRP 备份 组 状态 。 优 先 级 最 高 的 VRRP 备份 组 状态 为 Master, 其 余 VRRP 备份 组 
状态 为 Backup。VRRP 备份 组 的 状态 决定 了 路 由 器 的 主 备 状态 。VRRP 备份 组 状态 为 
Master 的 路 由 器 称 为 Master 路 由 器 , VRRP 备份 组 状态 为 Backup 的 路 由 器 称 为 Backup 
路 由 器 。 当 Master 路 由 器 正常 工作 时 ,局域网 内 的 主机 通过 Master 路 由 器 与 外 界 通信 ， 
当 Master 路 由 器 出 现 故障 时 ,一 台 Backup 路 由 器 (VRRP 优先 级 次 高 的 ) 将 成 为 新 的 
Master 路 由 器 ,接替 转发 报 文 的 工作 ,保证 网 络 不 中 断 。 

由 于 VRRP 备份 组 是 相互 独立 的 , 当 一 台 设 备 上 出 现 多 个 VRRP 备份 组 时 ,它们 之 
间 的 状态 无 法 同步 。 这 个 问题 导致 VRRP 协议 不 适用 于 防火 墙 。 为 了 解决 多 个 VRRP 
备份 组 状态 不 一 致 的 问题 ,360 新 一 代 智 慧 防 火 墙 引入 SGMP(SecGate Group Manage- 
ment Protocol) 来 实现 对 VRRP 备份 组 的 统一 管理 ,保证 多 个 VRRP 备份 组 状态 的 一 致 
性 。 将 防火 墙 上 的 所 有 VRRP 备份 组 都 加 入 到 一 个 SGMP 组 中 ,由 SGMP 组 来 集中 监 
控 并 管理 所 有 VRRP 备份 组 的 状态 。 如 果 SGMP 组 检测 到 其 中 一 个 VRRP 备份 组 的 状 
态 有 变化 , 则 SGMP 组 会 控制 组 中 的 所 有 VRRP 备份 组 统一 进行 状态 切换 ,保证 各 VRRP 
备份 组 状态 的 一 致 性 。 

如 图 4-41 所 示 ,在 工作 防火 墙 上 将 VRRP 备份 组 1 和 VRRP 备份 组 2 都 加 入 状态 
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为 Active 的 SGMP 组 ,在 备用 防火 墙 上 将 VRRP 备份 组 1 和 VRRP 备份 组 2 都 加 入 状 
态 为 Standby 的 SGMP 组 。 由 于 SGMP 组 的 状态 决定 了 组 内 VRRP 备份 组 的 状态 ,所 
以 工作 防火 墙 上 的 VRRP 备份 组 1 和 2 的 状态 都 为 Active, 备 用 防火 墙 上 的 VRRP 备份 
组 1 和 2 的 状态 都 为 Standby。 这 样 工作 防火 墙 就 是 VRRP 备份 组 1 和 VRRP 备份 组 2 
中 的 Active 路 由 器 (也 就 是 两 个 防火 墙 中 的 工作 设备 ) ,而 备用 防火 墙 就 是 它们 的 Stand- 
by 路 由 器 ,所 以 上 下 行 的 流量 都 会 被 引导 到 工作 防火 墙 转发 。 


MAC 地 址 端口 
00-00-5E-00-01-02 Eth 0/0/1 


Eth 0/0/2 


VRRP 备 份 组 2 
/ 
中风 1.1.1.1/24 


/ > GE 1/0/3 
Active 和 


Standby 


FW1 FW2 
GE 1/0/1 人 NS VRRP 备 份 组 ”> ) GE 1/0/1 
Active < >v1044 424-- Standby 
~、 
Eth 0/0/1 Eth 0/0/2 
MAC 地 址 端口 
00-00-5E-00-01-01 Eth 0/0/1 
PC ER » 
内 网。 一 内 网 访问 外 网 的 报 广 
------- 一 回程 报 广 
心跳 线 


图 4-41 SGMP 组 备份 原理 


3. 下 一 代 防 火 墙 HA 部 署 

下 一 代 防 火 墙 支持 双 机 热 备 功能 ,起 到 设备 元 余 与 负载 均衡 的 作用 。 在 这 种 环境 中 ， 
下 一 代 防 火 墙 以 透明 模式 或 者 路 由 模式 部 署 在 网 络 中 。 每 台 设 备 上 指定 的 通信 网 口 在 同 
一 个 局 域 网 内 ,下 一 代 防 火 墙 之 间 即 可 实现 同步 。 下 一 代 防 火 墙 A-A 模式 的 实际 部 署 如 
图 4-42 所 示 。 

为 了 使 网 络 稳定 可 靠 ,下 一 代 防 火 墙 支持 两 台 设 备 以 A-P 模式 运行 。 两 台 设 备 通过 
心跳 线 相连 ,一 主 一 备 ,当主 设备 发 生 故 障 时 自动 切换 到 备用 设备 。 下 一 代 防 火 墙 A-P 
模式 的 实际 部 署 如 图 4-43 所 示 。 
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411 ”虚拟 防火 墙 


当 需 要 为 更 多 的 业务 服务 器 ,业务 部 门 提供 安全 防护 时 ,采购 更 多 的 防火 墙 虽然 能 解 
决 问题 ,但 是 增加 了 网 络 的 复杂 度 ,也 为 网 络 维护 人 员 增 加 了 更 多 的 工作 量 。 虚 拟 系统 的 
设计 就 是 为 了 在 不 增加 额外 防火 墙 的 前 提 下 ,为 更 多 的 业务 服务 器 ,业务 部 门 提供 相互 隔 
离 的 安全 防护 功能 。 虚 拟 系统 不 需要 对 现 有 的 网 络 环境 进行 大 规模 变动 ,通过 防火 墙 的 
虚拟 系统 功能 ,可 以 灵活 地 搭建 虚拟 环境 ,实现 各 个 业务 服务 器 .业务 部 门 的 安全 隔离 与 
访问 控制 。 

虚拟 系统 可 以 在 一 个 单一 的 硬件 平台 上 提供 多 个 虚拟 的 防火 墙 实 例 , 每 个 虚拟 实例 
都 具备 独立 管理 ,独立 配置 独立 安 全 策略 ,独立 路 由 表 等 功能 ,是 逻辑 意义 上 完全 独立 的 
安全 设备 。 它 可 以 在 一 台 物理 设备 上 虚拟 出 多 台 人 逻辑 分 离 的 虚拟 设备 ,每 一 个 虚拟 设备 
都 具备 单独 的 操作 系统 ,可 以 实现 独立 的 数据 转发 .内 容 检测 和 管理 配置 ,在 用 户 看 来 就 
是 一 台 完全 独立 的 防火 墙 设备 ,拥有 和 物理 防火 墙 一 样 全 面 的 安全 防护 功能 。 

本 节 介 绍 的 虚拟 防火 墙 和 1. 2. 2 节 介绍 的 云端 虚拟 化 技术 不 同 。 云 端 虚拟 化 技术 无 
须 购置 硬件 防火 墙 设备 ,是 购买 基于 云端 的 防火 墙 服务 ;而 虚拟 防火 墙 是 已 经 购置 硬件 防 
火 墙 设备 ,将 一 台 硬 件 防火 墙 设备 虚拟 化 为 多 个 虚拟 的 防火 墙 设备 ,每 个 虚拟 的 防火 墙 设 
备 在 用 户 看 来 就 是 一 台 完 全 独立 的 防火 墙 设备 ,拥有 和 物理 防火 墙 一 样 全 面 的 安全 防护 
功能 。 


4.11.1 虚拟 系统 的 基本 组 成 


360 新 一 代 智慧 防火 墙 虚 拟 系统 由 根 虚拟 系统 、 子 虚拟 系统 以 及 虚拟 系统 接口 组 成 。 

根 虚 拟 系 统 (root-vsys) 是 系统 默认 的 虚拟 系统 ,不 可 创建 ,不 可 删除 ,拥有 防火 墙 的 
所 有 功能 。 

由 根 虚 拟 系统 管理 员 创建 出 来 的 虚拟 系统 都 是 子 虚 拟 系统 (vsys) 。 子 虚拟 系统 在 逻 
辑 上 就 是 一 台独 立 的 防火 墙 , 可 以 进行 独立 的 管理 .独立 的 配置 等 。 

虚拟 系统 接口 (vgel) 是 由 各 虚拟 系统 管理 员 创建 的 ,每 个 虚拟 系统 只 能 创建 一 个 虚 
拟 系统 接口 ,并 且 虚 拟 系统 管理 员 只 能 创建 自己 管理 的 虚拟 系统 的 虚拟 系统 接口 。 例 如 ， 
根 虚 拟 系统 root-vsys 的 管理 员 admin 创建 的 虚拟 系统 接口 vgel 属于 根 虚拟 系统 root- 
vsys, 并 且 根 虚拟 系统 root-vsys 只 有 这 一 个 虚拟 系统 接口 ; 子 虚 拟 系统 vsysl 的 管理 员 
admin_vsysl 创建 的 虚拟 系统 接口 vgel 属于 子 虚 拟 系统 vsysl ,并 且 子 虚拟 系统 vsysl 只 
有 这 一 个 虚拟 系统 接口 。 

虚拟 系统 接口 是 在 各 个 虚拟 系统 直接 进行 内 部 通信 时 使 用 的 。 它 模拟 了 一 台 内 部 的 
虚拟 三 层 交 换 机 ,虚拟 系统 之 间 通 信 时 不 需要 进行 外 部 物理 接口 连接 。 


4.11.2 ”虚拟 系统 管理 及 配置 


与 实际 物理 系统 相同 ,虚拟 系统 同样 需要 配置 与 管理 ,以 保障 功能 可 以 正常 运行 。 
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虚拟 系统 通过 管理 员 进 行 系统 管理 。 虚 拟 系统 管理 员 包 括 根 虚拟 系统 管理 员 和 子 虚 
拟 系统 管理 员 。 

根 虚拟 系统 管理 员 是 权限 最 大 的 管理 员 , 只 有 该 管理 员 可 以 创建 .删除 虚拟 系统 ,并 
对 虚拟 系统 进行 资源 控制 。 也 只 有 根 虚拟 系统 管理 员 可 以 将 接口 划分 给 各 虚拟 系统 。 对 
于 部 分 全 局 功能 而 言 ( 即 根 虚 拟 系统 下 有 而 子 虚 拟 系统 下 没有 的 功能 ,如 高 可 用 性 ), 只 有 
根 虚拟 系统 管理 员 可 以 进行 配置 。 根 虚拟 系统 可 以 有 多 个 管理 员 。 根 虚拟 系统 管理 员 可 
以 管理 所 有 虚拟 系统 。 

子 虚 拟 系统 管理 员 只 能 管理 对 应 的 子 虚 拟 系统 , 且 对 于 部 分 全 局 功能 (如 高 可 用 性 ) 
没有 配置 权限 。 子 虚拟 系统 管理 员 具 有 如 下 权限 : 

(1) 根 虚拟 系统 管理 员 创建 子 虚 拟 系统 管理 员 ,并 指定 给 某 个 子 虚 拟 系统 。 

(2) 一 个 子 虚 拟 系统 管理 员 只 能 管理 一 个 其 所 属 的 子 虚 拟 系统 。 

(3) 子 虚 拟 系统 可 以 有 多 个 子 虚 拟 系统 管理 员 。 

(4) 子 虚 拟 系统 管理 员 可 以 在 物理 上 的 任意 接口 ( 非 其 所 属 的 子 虚 拟 系统 的 接口 也 
可 以 ) 进 行 登录 ,并 管理 其 所 属 的 子 虚 拟 系统 。 例 如 , 子 虚 拟 系统 vsys2 下 有 一 个 子 虚 拟 
系统 管理 员 admin_vsys2 ,物理 接口 ge2、ge3 属于 子 虚 拟 系统 vsys2。 管 理 员 admin __ 
vsys2 可 以 通过 任意 一 个 物理 接口 登录 ,对 vsys2 进行 管理 。 

一 个 虚拟 系统 内 最 多 可 以 设置 256 个 管理 员 。 

对 虚拟 系统 的 资源 配置 主要 是 设置 最 小 值 和 最 大 值 。 

(1) 资源 配置 最 小 值 : 预 留 给 该 子 虚 拟 资源 的 资源 , 当 剩 余 的 系统 资源 不 够 分 配给 
该 子 虚 拟 资源 时 ,创建 该 子 虚 拟 资源 会 失败 。 资 源 按 百 分 值 进行 分 配 ,范围 为 0 一 100。 
资源 配置 最 小 值 为 0 时 ,代表 不 为 该 子 虚 拟 资源 预 留 资源 。 

(2) 资源 配置 最 大 值 : 当 有 资源 未 被 其 他 子 虚 拟 资源 占用 ,未 预 留 给 其 他 子 虚 拟 资 
源 时 ,该 子 虚 拟 资源 能 占用 但 不 会 超过 的 最 大 资源 配置 。 资 源 按 百 分 值 进行 分 配 ,范围 
为 1 一 100。 


412 ”集中 管理 


集中 管理 可 以 简化 防火 墙 的 管理 ,同时 提高 区 域 安 全 性 。 在 360 新 一 代 智 慧 防火 墙 
中 ,用 户 可 以 使 用 SMAC(Security Management Analysis Center, 安 全 管理 分 析 中 心 ) 对 
其 进行 集中 管理 。SMAC 可 以 实现 向 防火 墙 统一 下 发 对 象 、 安 全 策略 .系统 升级 包 、 特 征 
库 升 级 包 及 获取 防火 墙 配置 等 功能 。 

SMAC 是 360 新 一 代 智 慧 防 火 墙 的 重要 组 件 , 它 能 够 对 网 络 各 关键 部 位 的 防火 墙 设 
备 进行 统一 集中 管理 ,提供 对 防火 墙 设备 的 实时 监控 ,安全 事件 分 析 、 配 置 文件 与 系统 文 
件 的 统一 管理 等 ,支持 对 防火 墙 的 系统 日 志 、 域 间 访 问 控 制 日 志 、 攻 击 日 志 、NAT 日 志 、 
流量 日 志 等 的 收集 与 报告 分 析 。 使 用 SMAC 功能 不 仅 可 简化 防火 墙 日 常 管理 工作 ,更 便 
于 管理 员 直 观 地 掌控 网 络 安全 事件 .并 对 未 来 整 网 安全 趋势 做 出 判断 。 
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集中 管理 有 以 下 几 大 功能 。 


1. 全 网 统一 监控 

SMAC 集中 管理 提供 对 整 网 安全 事件 的 实时 监控 ,集中 采集 并 显示 各 种 攻击 ,用户 
访问 控制 等 事件 ,实时 显示 近期 安全 事件 状态 ,并 提供 基于 攻击 事件 的 源 地 址 和 目的 地 址 
等 列表 ,为 用 户 提供 当前 网 络 安全 事件 的 概览 信息 ,帮助 管理 员 直 观 地 了 解 最 新 安全 状 
况 , 实 时 监控 正在 发 生 的 安全 事件 ,对 安全 威胁 做 出 快速 排查 ,保障 整 网 的 安全 性 。 


2. 策略 批量 下 发 

SMAC 集中 管理 支持 管理 人 员 通 过 一 次 配置 实现 全 网 指定 设备 上 相关 策略 的 下 发 
和 更 新 , 既 方 便 了 管理 ,又 确保 了 策略 的 一 致 性 。 如 果 某 些 分 支 设 备 的 部 分 配置 较为 “个 
性 化 ”而 与 其 他 设备 配置 不 同 ,管理 者 同样 可 以 通过 SMAC 集中 管理 对 此 类 设备 进行 单 
独 编辑 和 配置 的 单独 下 发 ,从 而 实现 集中 化 和 个 性 化 的 灵活 性 要 求 。 


3. 违规 配置 核查 

SMAC 集中 管理 基于 资源 的 角度 ,对 系统 软件 与 配置 文件 采用 库 的 管理 方式 ,支持 
对 系统 软件 与 设备 配置 文件 的 变更 进行 查看 与 审计 ,可 以 及 时 阻 断 违规 配置 。 支 持 对 系 
统 软件 .设备 配置 的 批量 升级 备份 与 恢复 ,支持 任务 调度 机 制 等 管理 ,能够 保障 网 络 整体 
运行 安全 ,及 时 发 现 网络 和 系统 主机 的 故障 和 性 能 瓶颈 。 


4. 全 局 日 志 审计 

SMAC 集中 管理 可 从 异常 流量 日 志 、 黑 名 单 日 志 、NTA 日 志 、 域 间 访 问 控制 日 志 、 
VPN 日 志 、 系 统 操作 日 志 等 多 方面 来 对 网 络 安全 事件 进行 跟踪 与 分 析 ,直观 了 解 安全 事 
件 的 来 源 . 目 的 地 等 行为 状况 ,详细 记录 攻击 事件 .异常 流量 ,非法 访问 ,非法 系统 操作 等 ， 
帮助 管理 员 了 解 网 络 攻击 .异常 流量 状况 ,并 对 用 户 操作 进行 跟踪 ,便于 事后 审计 和 追踪 。 

同时 ,SMAC 集中 管理 提供 了 强 有 力 的 搜索 查询 能 力 ,能 够 从 海量 的 历史 数据 中 , 基 
于 设备 时间、 事件 类 型 .协议 .攻击 级 别 . 源 /目的 IP 地 址 、 端 口号 等 多 维度 定义 进行 快速 
查询 。 例 如 ,通过 对 攻击 类 型 的 查询 ,可 得 到 以 时 间 顺 序 排列 的 攻击 者 的 源 IP 地 址 、 目 的 
IP 地 址 、 端 口号 \ 协 议 号 ,详细 事件 信息 等 的 事件 记录 。 


5. 分 权 分 域 管理 

SMAC 集中 管理 支持 管理 员 分 权 分 域 管理 。SMAC 集中 管理 将 下 一 代 防 火 墙 设备 
划分 到 不 同 区 域 中 ,同时 为 不 同 的 管理 员 配 置 不 同 的 区 域 管理 权限 ,从 而 实现 超级 管理 
员 ,管理 员 的 分 级 管理 结构 ,增强 了 管理 的 灵活 性 。 


(1) 防火 墙 的 一 体 化 安全 策略 中 都 有 哪些 维度 的 匹配 条 件 ? 
(2) 什么 是 访问 控制 ? 简 述 访问 控制 基本 模型 。 
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(3) 简 述 下 一 代 防 火 墙 针 对 SYN Flood、UDP Flood 和 HTTP Flood 的 防御 原理 。 

(4) 简 述 下 一 代 防 火 墙 反 病毒 和 反 间 谍 功 能 的 流程 和 基本 原理 。 网 络 人 侵 技 术 有 哪 
些 ? 简 述 其 攻击 原理 。 

(5) 简 述 云 管 端 协 同 机 制 。“ 云 “ 管 * 端 "分 别 指 什 么 ? 

(6) 简 述 基于 网 络 的 检测 与 处 置 的 工作 原理 。 

(7) 防火 墙 双 机 热 备 包 括 几 种 方式 ? 实现 双 机 热 备 主要 有 几 种 协议 ? 简 述 双 机 热 备 
原理 。 

(8) 简 述 虚拟 防火 墙 的 工作 机 制 。 基 于 硬件 的 虚拟 防火 墙 和 基于 云端 的 虚拟 防火 墙 
有 何不 同 ? 
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前 4 章 介 绍 了 防火 墙 的 原理 ,技术 、 网 络 部 署 以 及 防火 墙 应 用 。 本 章 介绍 下 一 代 防 火 
墙 应 用 案例 。 本 章 针 对 各 应 用 不 同 的 应 用 背景 和 安全 需求 ,分 析 其 存在 的 安全 问题 ,提出 
不 同 的 解决 方案 ,同时 以 360 新 一 代 智慧 防火 墙 为 例 ,展示 多 种 部 署 方 式 。 


5 1 ”企业 互联 网 边界 安全 解决 方案 


5.1.1 背景 及 需求 


1. 应 用 背景 

随 着 计算 机 、 宽 带 技术 的 迅速 发 展 ,网 络 办 公 日 益 流行 ,互联 网 已 经 成 为 人 们 工作 、 生 
活 、 学 习 中 不 可 或 缺 .便捷 高 效 的 工具 。 越 来 越 多 的 企业 的 正常 运营 依赖 于 网 络 的 高 效 、 
稳定 。 而 互联 网 宽松 自由 的 特点 ,也 使 其 成 为 恶意 组 织 .黑客 对 企业 实施 攻击 的 通道 。 

边界 安全 是 企业 安全 防护 体系 的 重要 阵地 ,同时 互联 网 边界 是 企业 网 络 的 第 一 道 防 
线 ,也 是 最 后 一 道 防线 。 


2. 用 户 需求 

1) 防止 互联 网 访问 中 造成 恶意 攻击 

我 国 面临 的 攻击 威胁 极为 严重 ,而 互联 网 作为 我 国 最 大 、 使 用 最 广泛 的 网 络 往往 承受 
着 更 多 ,更 高 级 的 攻击 威胁 。 

为 了 避免 攻击 者 从 互联 网 边界 人 侵 企业 的 内 网 ,在 企业 接 人 互联 网 后 ,一 方面 要 避免 
内 网 用 户 访问 钓鱼 网 站 和 被 植 人 恶意 软件 (木马 病毒、 勒索 软件 )、 访 问 恶意 URL 等 威 
胁 , 男 一 方面 要 加 强 对 高 级 持续 性 威胁 的 监控 与 拦截 。 

2) 防止 员工 违规 访问 引发 的 企业 风险 

尽管 互联 网 提供 了 许多 有 价值 的 信息 资源 ,但 由 于 互联 网 本 身 所 固有 的 开放 性 、 国 际 
性 和 无 组 织 性 ,使 网 络 上 充斥 着 不 良 信 息 。 要 健康 、 合 法 地 使 用 互联 网 ,需要 做 到 下 面 
几 点 : 

(1) 禁止 企业 员工 访问 宣传 反动 言论 色情、 在 线 赌博 恐怖 暴力 以 及 封建 迷信 的 
站 点 。 

(2) 管理 员工 上 网 行为 ,禁止 员工 在 上 班 时 间 使 用 P2P 下载、 炒股、 进行 网 络 视 频 聊 
天 、 玩 游戏 等 ,提升 员工 的 工作 效率 ,合理 使 用 带宽 资源 。 


ma 第 5 章 典型 案例 mmm 


(3) 防止 员工 在 发 帖 . 网 络 聊天 中 在 网 上 发 布 违法 违规 内 容 , 要 避免 涉及 政治 敏感 话 
题 分裂 主义 等 不 利于 社会 稳定 的 违法 违规 言论 从 企业 内 部 发 布 到 互联 网 ,降低 企业 的 法 

(4) 及 时 发 现 并 阻止 可 能 与 商业 或 研发 机 密 有 关 的 信息 外 泄 ,减少 机 密 外 泄 风险 。 
并 且 在 及 时 阻止 的 同时 记录 日 志 , 实 现 事后 追 责 。 

3) 精准 定位 内 部 的 失陷 主机 

失陷 主机 是 指 被 攻击 者 成 功 侵入 ,行为 特征 符合 “受到 控制 ”或 “发 起 恶意 行为 "的 主 
机 。 当 前 ,失陷 主机 已 相当 普遍 ,权威 机 构 的 一 项 研究 表明 ,在 PC 数量 超过 5000 台 的 大 
型 企业 网 络 中 ,有 超过 90% 的 企业 均 存 在 活路 的 失陷 主机 ,而 攻陷 这 些 主机 的 手法 多 种 
多 样 。 此 外 ,由 于 失陷 主 机 受 控 或 发 起 恶意 行为 往往 难 寻 规律 ,隐蔽 性 强 , 绝 大 部 分 已 存 
在 失陷 主机 的 企业 根本 无 法 感知 。 因 此 ,企业 互联 网 边界 需要 建立 失陷 主机 检测 和 处 理 
的 机 制 , 防 止 因为 失陷 主机 造成 的 信息 外 泄 或 者 对 外 发 起 恶意 攻击 ,使 企业 面临 经 济 损失 
及 法 律 风险 。 


5.1.2 解决 方案 及 分 析 


1. 解决 方案 

360 新 一 代 智 慧 防火 墙 ( 以 下 简称 "智慧 防火 墙 2 是 一 款 兼 具 复 杂 环 境 组 网 、 深 度 应 
用 识别 .精细 化 访问 控制 以 及 高 性 能 应 用 层 威 胁 防御 等 能 力 , 并 集成 互联 网 威胁 情报 、. 异 
常 行为 分 析 、 安 全 可 视 化 等 新 一 代 安 全 技术 的 创新 型 边界 安全 产品 。 

如 图 5-1 所 示 ,智慧 防火 墙 在 互联 网 边界 出 口 部 署 ,基于 其 自身 强大 的 应 用 、 威 胁 
识别 能 力 和 多 维 数据 分 析 , 能 做 到 对 通过 互联 网 出 口 的 流量 高 精度 管控 ,通过 与 天 御 
云 的 协同 联动 ,打破 传统 防火 墙 的 静态 防御 、 单 兵 作 战 的 防御 模式 ,全 面 提 升 了 边界 防 
御 能 力 。 

1) 基于 本 地 引擎 和 云端 协 防 高 效 拦截 外 部 威胁 

智慧 防火 墙 通过 启用 一 体 化 安全 防护 策略 ,将 反 病 毒 ,漏洞 防御 、 防 间谍 软件 ,恶意 
URL 防御 等 功能 集成 到 一 条 策略 中 ,并 基于 优越 的 架构 设计 保障 高 性 能 的 安全 能 力 。 

通过 在 互联 网 边界 启用 智慧 防火 墙 的 漏洞 防御 、 防 间谍 软件 、 反 病毒 、URL 过 滤 功 
能 ,基于 本 地 安全 引擎 ,能 高 效 拦截 常见 漏洞 入 侵 、 间 谍 软 件 、 病 毒 、 木 马 \ 钓 鱼网 站 、 恶 意 
URL 访问 等 网 络 威胁 。 

同时 ,智慧 防火 墙 专属 的 天 御 云 安全 服务 可 为 智慧 防火 墙 提供 云端 的 协 防 能 力 。 在 
智慧 防火 墙 本 地 启用 病毒 云 查 杀 、URL 云 识别 、 云 沙 箱 、 情 报 云 检测 等 配置 。 智 慧 防火 墙 
在 检测 到 异常 URL、 可 疑 文件 时 ,可 以 将 无 法 判断 的 内 容 上 报 至 天 御 云 进行 进一步 分 析 
判定 。 

天 御 云 基于 360 强大 的 漏洞 挖掘 能 力 和 情报 收集 分 析 能 力 , 可 为 智慧 防火 墙 提 供 威 
胁 情 报 服务 ,智慧 防火 墙 将 互联 网 出 口 流量 中 的 可 疑 行为 的 特征 (可 疑 文件 MD5、 可 疑 目 
的 IP 地 址 可疑 URL 等 ) 发 送 到 天 御 云 进行 大 数据 分 析 , 可 有 效 发 现 高 级 威胁 。 

智慧 防火 墙 通过 云端 协同 可 以 极 大 地 提升 特征 库 数量 级 ,补充 本 地 识别 库 ,并 提升 防 
火 墙 对 高 级 威胁 的 识别 能 力 ,提高 防火 墙 拦截 的 精确 度 和 高 效 性 。 
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部 门 A 部 门 B 
5-1 企业 互联 网 边界 安全 解决 方案 拓扑 


2) 启用 精细 化 、 细 粒度 的 上 网 管控 策略 

基于 智慧 防火 墙 深度 内 容 识 别 的 上 网 行为 管控 策略 ,一 方面 可 有 效 限制 企业 内 部 网 
络 机 密 信息 的 传播 ,从 而 降低 公司 机 密 汇 露 的 风险 ,保证 信息 安全 ; 另 一 方面 可 有 效 限制 
员工 终端 系统 可 访问 的 应 用 ,从 而 提高 工作 效率 。 

智慧 防火 墙 支持 通过 预定 义 的 URL 类 及 用 户 自 定义 的 URL 类 对 URL 进行 过 滤 ， 
仅 允 许 用 户 打开 某 些 网 页 ,或 者 禁止 用 户 打开 某 些 网 页 。 例 如 可 以 通过 策略 禁止 企业 员 
工 访问 色情 、 犯 罪 邪教 等 网 站 。 

智慧 防火 墙 通过 深度 内 容 过 滤 模 块 ,针对 邮件 协议 、 文 件 传输 协议 、Web 应 用 协议 、 
网 页 邮箱 、 云 盘 进 行 应 用 层 的 内 容 进 行 过 滤 , 可 以 对 含有 预定 义 或 自 定义 违规 关键 字 的 内 
容 进行 过 滤 ,防止 企业 员工 对 外 发 布 违法 言论 ,规避 企业 的 法 律 风险 。 

智慧 防火 墙 支持 精细 化 应 用 识别 控制 ,可 以 做 到 基于 应 用 的 上 网 行为 管控 策略 ,限制 
网 络 内 部 的 用 户 使 用 某 种 指定 的 应 用 程序 或 协议 。 该 方法 在 不 限制 用 户 访问 互联 网 的 前 
提 下 ,能 够 差别 化 地 限制 某 些 影响 工作 效率 或 占用 大 量 带宽 的 应 用 (如 QQ、P2P) 的 使 用 ， 
并 且 限 制 通过 WLAN 上 网 的 手机 用 户 使 用 与 工作 无 关 的 应 用 。 

智慧 防火 墙 支持 深度 文件 属性 识别 技术 ,对 文件 类 型 的 识别 不 依赖 后 缀 名 ,即使 修改 
文件 后 级 名 ,也 不 影响 智慧 防火 墙 识 别 该 文件 。 当 使 用 POP3、SMTP、IMAP、FTP、HT- 
TP 协议 及 网 页 邮箱 、 云 盘 传 输 文件 时 ,通过 识别 文件 类 型 ,对 文件 的 上 传 和 下 载 进 行 过 
滤 , 可 以 有 效 限 制 企 业内 部 网 络 机 密 信息 的 传播 ,从 而 降低 公司 机 密 泄露 的 风险 ,保证 信 
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息 安全 。 

智慧 防火 墙 提供 精细 化 的 上 网 行为 管控 措施 ,不 仅 能 规避 企业 员工 访问 非法 网 站 发 
布 非法 言论 的 问题 ,还 能 有 效 提升 员工 工作 效率 和 带宽 利用 率 。 

3) 与 天 御 云 协同 联动 ,精准 发 现 内 网 失陷 主机 

防火 墙 的 部 署 位 置 在 企业 互联 网 边界 ,与 天 御 云 进行 实时 协同 ,检测 内 网 可 疑 失陷 主 
机 ,并 利用 分 析 中 心 “智慧 调查 ”相关 的 关联 分 析 特 性 及 时 研判 网 络 风险 ,进而 下 发 处 置 
策略 。 

天 御 云 将 智慧 防火 墙 上 报 的 日 志 数 据 汇聚 至 大 数据 分 析 引 擎 ,提取 网 络 内 主机 的 行 
为 数据 ,可 通过 大 数据 技术 挖掘 偏离 正常 基线 的 异常 行为 。 同 时 ,由 防火 墙 上 报 的 威胁 日 
志 将 会 和 其 他 多 种 来 源 的 攻防 信息 汇聚 为 威胁 情报 ,天 御 云 将 海量 的 威胁 情报 与 本 地 行 
为 数据 进行 匹配 对 撞 ,可 智慧 发 现 失陷 主机 或 者 可 能 失陷 的 风险 主机 。 

当 智慧 防火 墙 提供 了 可 能 失陷 的 风险 主机 后 ,可 根据 受害 IP 地 址 或 者 威胁 事件 匹配 
到 IOC 条 目 进行 一 键 跳 转 , 通 过 数据 中 心 和 分 析 中 心 ,将 流量 经 过 设备 各 功能 模块 检测 
时 所 产生 的 日 志 信息 关联 聚合 ,呈现 一 次 攻击 发 生 的 全 过 程 。 

当 经 过 发 现 、 分 析 调 查 工作 后 ,如果 确定 为 失陷 主机 ,智慧 防火 墙 还 支持 根据 自 定义 
时 间 一 键 处 置 失陷 主机 或 者 一 键 处 置 威胁 事件 ,做 到 ”智慧 处 置 ”, 使 整个 处 理 流程 变 得 简 
单 、 高 效 。 

通过 智慧 防火 墙 和 天 御 云 的 协同 联动 ,不 但 可 以 预警 网 内 的 失陷 主机 ,同时 还 可 以 向 
用 户 提供 分 析 回溯 的 可 见 性 及 一 键 式 的 处 置 策略 下 发 能 力 ,实现 对 内 部 风险 点 和 威胁 的 
检测 、 分 析 、 处 置 的 闭环 管理 。 


2. 用 户 价值 

1) 全 面 ,精确 的 威胁 检测 能 力 

基于 360 深厚 的 攻防 研究 储备 和 安全 大 数据 能 力 ,智慧 防火 墙 可 对 3000 余 种 漏洞 利 
用 攻击 、500 余 万 种 恶意 文件 实现 防御 。 此 外 ,还 可 与 安全 私有 云 ` 沙 箱 检测 系统 等 部 件 
展开 智能 协同 ,通过 病毒 云 查 杀 、URL 云 过 滤 可疑 文件 深度 鉴别 等 高 级 功能 进一步 提升 
威胁 检 出 能 力 , 确 保 互联 网 边界 的 安全 性 。 

2) 基于 内 容 `.URL、 应 用 行为 的 精细 化 管控 

智慧 防火 墙 系统 提供 内 容 过 滤 、URL 过 滤 、 网 络 行为 管理 功能 ,从 而 实现 对 用 户 的 网 
络 行为 进行 管控 。 行 为 管控 策略 不 仅 可 精确 到 IP 地 址 ,更 可 精确 到 用 户 。 同 时 ,在 文件 
过 滤 中 还 实现 了 对 敏感 信息 泄露 的 防御 ,在 内 容 过 滤 中 实现 了 基于 关键 字 的 内 容 发 布 过 
滤 ,提供 支持 6700 余 种 应 用 和 700 余 种 手机 APP 管控 ,使 应 用 控制 更 加 精细 化 。 

3) 云端 协同 精确 定位 失陷 主机 

基于 多 手段 的 安全 数据 采集 和 深入 分 析 ,并 得 益 于 情报 共享 的 生态 体系 ,360 具备 全 
球 领先 的 威胁 情报 生产 能 力 。 基 于 云端 威胁 情报 技术 的 失陷 主机 发 现 ,智慧 防火 墙 可 在 
互联 网 边界 对 网 络 流量 进行 多 维度 关联 分 析 、 递 进 式 数据 钻 取 ,通过 人 性 化 UI 界面 直观 
展现 失陷 主机 的 发 现 、 调 查 、 处 置 一 体 化 流程 以 及 安全 事件 的 溯源 取证 过 程 。 
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52 行业 专 网 网 络 安全 解决 方案 


5.2.1 背景 及 需求 


1. 应 用 背景 

专 网 是 指 在 一 些 行业 ,部门 或 单位 内 部 ,为 满足 其 进行 组 织 管理 .安全 生产 .调度 指挥 
等 需要 所 建设 的 专用 数据 网 络 。 由 于 其 具有 保密 性 高 .稳定 可 靠 等 诸多 优势 ,被 政府 、 公 
安检 察 院 、 法 院 \ 税 务 、 海 关 、 教 育 等 行业 用 户 广 泛 采用 。 

专 网 建设 成 本 高 昂 ,一 般 只 有 重要 行业 ,关键 部 门 才 会 斥 巨 资 建设 并 维护 ,其 承载 的 
应 用 均 为 组 织 的 核心 业务 ,对 安全 性 要 求 极 高 。 长 期 以 来 ,大 部 分 安全 管理 者 片面 地 认 
为 , 专 网 是 一 个 与 公 网 、 互 联网 隔离 的 封闭 网 络 , 隔 离 是 解决 网 络 安全 问题 最 有 效 的 方式 ， 
足以 确保 外 部 威胁 无 法 侵入 。 

然而 , 随 着 “互联 网 十 ”时代 的 到 来 ,业务 应 用 场景 日 益 复杂 ,网 络 边界 越 来 越 不 清晰 。 
事实 证 明 ,隔离 的 专 网 并 不 是 安全 的 自留地 , 若 不 采取 得 当 的 安全 措施 , 专 网 一 旦 被 突破 ， 
将 极 有 可 能 在 瞬间 全 部 沦陷 , 正 所 谓 “ 单 点 突破 、 整 网 暴露 ”*。 因 此 ,行业 专 网 的 安全 问题 
不 能 一 隔 了 之 ,而 是 应 该 采取 更 加 有 效 的 安全 措施 。 


2. 用 户 需 求 

1) 内 部 各 区 域 的 安全 隔离 

目前 ,重要 行业 用 户 的 业务 专 网 几乎 做 到 了 国家 省 市 .县 4 级 全 覆盖 ,一 些 行业 的 
专 网 甚至 已 延伸 到 了 乡 、 镇 ,街道 一 级 。 各 级 机 构 通过 专 网 连接 实现 了 互联 互通 ,同时 也 
为 网 络 攻击 ,漏洞 入 侵 、 恶 意 程序 传播 等 提供 了 天 然 的 通道 。 

为 了 将 专 网 内 的 安全 问题 控制 在 较 小 范围 内 ,在 专 网 内 部 必须 进行 有 效 的 安全 隔离 ， 
尤其 应 采取 措施 避免 病毒 .蠕虫 的 大 面积 传播 ,以 及 专 网 内 部 主机 之 间 的 恶意 攻击 。 

2) 保证 专 网 应 用 访问 效率 

专 网 一 般 通 过 租用 专 有 链 路 实现 组 网 ,建设 成 本 较 高 ,资源 相对 有 限 。 而 与 之 矛盾 的 
是 , 专 网 所 承载 的 业务 应 用 类 型 繁多 ,用 户 规模 巨大 , 且 多 数 应 用 对 于 网 络 时 延 、 带 宽 等 具 
有 较为 苛刻 的 要 求 。 

为 了 确保 专 网 可 靠 、 稳 定 并 能 够 始终 保证 应 用 的 高 质量 交付 ,应 采取 必要 措施 对 各 种 
业务 应 用 的 资源 占用 进行 重点 保障 和 有 序 下 导 ,避免 多 业务 、 多 用 户 抢占 资源 而 导致 应 用 
交付 质量 下 降 和 业务 中 断 。 

3) 实现 全 网 统一 安全 管理 

专 网 各 节点 通常 在 地 理 位 置 上 分 布 较 广 ,与 之 对 应 , 专 网 内 的 各 类 安全 设备 也 分 散 地 
部 署 在 不 同 地 域 。 由 于 多 方面 因素 制约 , 专 网 全 局 性 的 统一 安全 管理 始终 难以 落地 ,在 日 
常 运 维 中 ,即便 是 对 全 网 设备 进行 一 次 统一 升级 或 紧急 下 发 一 条 应 急 处 置 策略 都 困难 
重重 。 

专 网 的 安全 防护 必须 坚持 一 致 性 原则 , 即 专 网 各 节点 需 始 终 保持 强度 统一 的 安全 防 
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护 策略 。 应 在 专 网 内 部 建立 覆盖 全 网 的 集中 管理 平台 ,实现 全 网 安全 设备 的 统一 监控 、 统 
一 管理 和 统一 运 维 。 

4) 实时 感知 内 部 安全 态势 

专 网 所 承载 的 数据 私密 性 强 、 价 值 高 ,决定 了 其 成 为 攻击 目标 的 可 能 性 更 大 。 在 当前 
威胁 环境 下 ,为 了 达成 破坏 系统 、 窃 取 数 据 等 目的 ,攻击 者 会 对 专 网 发 起 持续 不 断 、 花 样 百 
出 的 网 络 攻 击 。 即 便 在 专 网 内 已 层 层 设防 ,但 一 旦 遭遇 高 级 持续 性 攻击 ,失陷 几乎 仍 是 必 

面 对 严 峻 的 威胁 形势 ,以 防范 为 中 心 .静态 ,被动 .防御 性 的 传统 网 络 安全 防护 措施 并 
不 足以 保障 专 网 安全 。 从 某 种 意义 上 讲 , 层 层 设防 仅 能 迟滞 攻击 成 功 的 时 间 。 专 网 管理 
者 应 具备 对 全 局 威胁 的 感知 能 力 , 尤 其 是 对 于 专 网 内 已 被 攻陷 或 疑似 失陷 的 系统 ,应 做 到 
及 时 发 现 、 高 效 研 判 和 尽早 处 置 。 


5.2.2 ”解决 方案 及 分 析 


1. 解决 方案 

如 图 5-2 所 示 , 通 过 在 专 网 各 节点 网 络 边界 部 署 智慧 防火 墙 , 并 通过 与 其 配套 的 
SMAC 构建 全 网 统一 的 管理 ,预警 平 台 ,可 在 专 网 内 构筑 稳固 防线 ,同时 大 幅 提升 管理 者 
对 专 网 的 安全 管理 和 威胁 预警 能 力 ,实现 对 专 网 的 全 方位 防护 。 


沙 箱 检测 系统 


目 
数据 申 心 办 公 网 
图 5-2 行业 专 网 网 络 安全 解决 方案 拓扑 
1) 全 方位 、 高 性 能 威胁 防御 


智慧 防火 墙 深度 集成 病毒 防御 、 漏 洞 防御 、 间 谍 软 件 防御 、 有 恶意 URL 防御 等 功能 ,并 
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基于 优越 的 架构 设计 保障 高 性 能 的 安全 功能 交付 。 

通过 在 各 节点 的 智慧 防火 墙 上 启用 入 侵 防 御 (IPS) 、 病 毒 防御 (AV) 等 功能 ,对 全 网 
流量 进行 深度 威胁 检测 , 阻 断 病毒 扩散 、 漏 洞 入 侵 、 间 谍 软 件 等 恶意 攻击 行为 ,可 将 威胁 引 
发 的 安全 风险 控制 在 尽 可 能 小 的 范围 内 ,实现 专 网 内 部 的 有 效 安全 隔离 。 

2) 基于 业务 的 精细 资源 管控 

智慧 防火 墙 支持 多 级 通道 的 带宽 管理 功能 ,可 基于 用 户 、IP 地 址 、 应 用、 时 间 等 多 维 
条 件 对 网 内 流量 执行 精细 化 的 带宽 管理 ,包括 限定 最 大 带宽 .设置 保证 带宽 、 分 配 每 IP 地 
址 带宽 、 分 配 总 流量 限额 等 。 此 外 ,基于 通道 的 优先 级 设置 及 实际 带宽 占用 比例 ,系统 可 
自动 将 空闲 带宽 分 配给 重要 业务 ,确保 专 网 资源 的 合理 利用 。 

基于 智慧 防火 墙 的 应 用 识别 和 应 用 自 定义 能 力 , 可 将 专 网 业务 与 应 用 ID 精准 关联 ， 
通过 部 署 基 于 应 用 的 流量 管理 策略 为 关键 应 用 保障 带宽 资源 ,同时 限定 用 户 .应 用 的 资源 
占用 ,避免 链 路 拥塞 。 通 过 对 多 业务 、 多 应 用 带宽 资源 占用 的 有 序 朴 导 , 有 效 确保 业务 应 
用 的 高 质量 交付 。 

3) 构建 全 网 的 集中 管理 平台 

SMAC 是 360 新 一 代 智慧 防火 墙 的 集中 管理 平台 ,可 对 数 百 台 智慧 防火 墙 进 行 分 权 
分 域 的 集中 管理 ,实现 全 网 设备 统一 监控 、 统 一 管理 和 统一 运 维 。 

通过 在 总 部 部 署 SMAC 系统 ,可 提供 针对 全 网 智慧 防火 墙 的 设备 运行 状态 监控 、 安 
全 配置 违规 核查 、 安 全 策略 批量 下 发 .威胁 特征 统一 升级 等 诸多 智能 化 运 维 管理 功能 , 构 
建 专 网 的 统一 安全 管理 平台 ,可 大 幅 提 升 全 网 设备 的 管理 效率 ,并 确保 全 网 安全 的 一 致 性 
原则 切实 落地 。 

4) 建立 专 网 的 威胁 感知 中 心 

利用 SMAC 强大 的 数据 存储 和 运算 能 力 , 并 基于 威胁 情报 订阅 服务 ,SMAC 在 对 全 
网 智慧 防火 墙 实现 集中 管理 的 同时 ,还 可 将 部 署 于 各 子 网 边界 的 智慧 防火 墙 上 报 的 日 志 
数据 汇聚 至 大 数据 分 析 引 擎 ,提取 网 络 内 主机 的 行为 数据 ,一 方面 通过 大 数据 技术 挖掘 偏 
离 正常 基线 的 异常 行为 , 另 一 方面 将 本 地 的 行为 数据 与 威胁 情报 进行 匹配 对 撞 , 从 多 个 维 
度 检测 网 内 的 失陷 主机 和 风险 主机 。 

部 署 于 总 部 的 SMAC 同时 为 专 网 构建 了 威胁 感知 中 心 ,其 不 但 可 以 预警 网 内 的 失陷 
主机 ,同时 还 向 用 户 提 供 了 分 析 回 溯 的 可 见 性 及 一 键 式 处 置 策略 下 发 能 力 ,实现 对 内 部 风 
险 点 和 威胁 的 检测 ,分析 、 处 置 闭环 管理 。 


2. 用 户 价值 

1) 全 面 、 精 确 的 威胁 检测 能 力 

基于 360 深厚 的 攻防 研究 储备 和 安全 大 数据 能 力 ,智慧 防火 墙 可 对 3000 余 种 漏洞 利 
用 攻击 、500 余 万 种 恶意 文件 实现 防御 。 此 外 ,还 可 与 安全 私有 云 、 沙 箱 检 测 系 统 等 部 件 
展开 智能 协同 ,通过 病毒 云 查 杀 、URL 云 过 滤 、 可 疑 文件 深度 鉴别 等 高 级 功能 进一步 提升 
其 威胁 检 出 能 力 ,确保 专 网 安全 隔离 的 有 效 性 。 

2) 多 级 通道 的 精细 化 流量 控制 

与 绝 大 多 数 安全 网 关 提供 的 单 级 通道 流量 控制 相 比 ,多 级 通道 可 对 带宽 资源 实现 更 
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加 精细 的 划分 和 管理 。 基 于 多 级 通道 流 控 策 略 , 一 条 专 网 链 路 的 带宽 可 以 从 人 逻辑 上 划分 
为 多 份 ,每 份 可 用 于 不 同 的 业务 或 用 户 ,在 每 份 带宽 中 还 可 以 进一步 向 下 细 分 ,真正 实现 
了 针对 业务 的 精细 化 资源 分 配 。 

3) 自动 化 的 全 网 违规 配置 核查 

SMAC 在 满足 设备 监控 ,策略 下 发 等 基础 的 集中 管理 需求 外 ,还 提供 了 独 有 的 违规 
配置 核查 功能 ,可 以 代替 管理 者 对 全 网 智慧 防火 墙 设备 执行 自动 化 的 违规 配置 检查 ,例如 
检查 设备 是 否 配置 有 全 通 策略 、 检 查 设 备 是 否 开放 了 SSH 访问 ,检查 设备 管理 员 口 令 是 
否 未 达 强 度 要 求 等。 通过 对 设备 管理 漏洞 的 持续 性 、 自 动 化 发 现 , 可 确保 安全 管理 始终 处 
于 高 强度 。 

4) 由 情报 驱动 的 高 级 威胁 发 现 

基于 多 手段 的 安全 数据 采集 和 深入 分 析 , 并 得 益 于 情报 共享 的 生态 体系 ,360 具备 
全 球 领先 的 威胁 情报 生产 能 力 。 通 过 威胁 情报 订阅 ,智慧 防火 墙 可 在 专 网 网 络 边界 精 
准 检 测 并 快速 发 现 高 级 威胁 ,进一步 消除 安全 检测 的 讶 区。 与 传统 单纯 基于 静态 特征 
的 防护 技术 相 比 ,情报 驱动 的 边界 防御 体系 在 安全 有 效 性 和 防御 实时 性 方面 实现 了 跨 
越 式 提升 。 


5.3 企业 级 数据 中 心 出 口 防护 解决 方案 


5.3.1 背景 及 需求 


1. 应 用 背景 

数据 中 心 是 数据 大 集中 而 形成 的 集成 IT 应 用 环境 ,通过 网 络 互联 ,成 为 数据 计算 与 
存储 的 中 心 ,以 承载 各 种 IT 应 用 服务 。 通 过 数据 中 心 的 建设 ,企业 能 够 实现 对 IT 信息 
系统 的 整合 和 集中 管理 ,提升 内 部 的 运营 和 管理 效率 以 及 对 外 的 服务 水 平 , 同 时 降低 IT 
系统 建设 成 本 。 

数据 中 心 承载 着 企业 的 核心 业务 ,成 为 企业 信息 资源 形成 \ 利 用、 管理 的 关键 节点 ,所 
以 数据 中 心 是 企业 最 重要 的 资产 ,对 于 数据 中 心 的 安全 性 ` 可 用 性 要 求 极 高 。 一 直 以 来 ， 
出 口 安全 都 是 数据 中 心安 全 防护 体系 中 极为 重要 的 一 环 。 传 统 解决 方案 是 在 数据 中 心 出 
口 “ 串 糖葫芦 式 ” 部 署 防火 墙 \ 入 侵 防 御 系 统 等 安全 设备 ,试图 通过 增加 安全 设备 的 数量 提 
高 数据 中 心 的 安全 性 。 

但 是 , 随 着 信息 化 产业 的 发 展 ,数据 中 心 作为 企业 核心 竞争 力 所 承 载 的 IT 设施 和 数 
据 业 务 已 成 为 各 种 网 络 攻击 的 焦点 ,而且 攻 击 的 手法 越 来 越 隐 项 ,技术 越 来 越 高 级 。 由 于 
多 种 安全 设备 之 间 各 自 为 战 ,难以 协同 调配 ,在 应 对 当前 漏洞 利用 、 间 谍 软 件 攻 击 时 无 法 
形成 合力 ,反而 因为 操作 运 维 复杂 故障 点 增多 、 性 能 瓶颈 等 诸多 因素 ,影响 数据 中 心 业务 
的 正常 运营 。 所 以 数据 中 心安 全 体系 的 建设 必须 抛弃 传统 “堆砌 设备 提高 安全 性 ”的 落后 
思维 ,应 该 采用 符合 当前 趋势 的 .更 有 效 的 安全 措施 。 
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2. 用 户 需求 

1) 高 性 能 、 可 用 性 需求 

随 着 “互联 网 十 "时代 的 到 来 ,业务 模式 发 生 快 速 变化 ,企业 的 运作 高 度 依赖 网 络 , 带 
来 的 结果 就 是 数据 中 心 带宽 呈 几 何 级 增长 ,给 出 口 防护 带 来 严峻 的 性 能 挑战 。 同 时 企业 
的 业务 成 效 越 来 越 依赖 于 IT 服务 ,数据 中 心 的 可 用 性 已 经 成 为 业务 运营 的 生命 线 ,一 旦 
瘫痪 ,造成 业务 无 法 开展 ,对 企业 造成 的 经 济 损失 及 负面 影响 难以 估算 。 

为 了 满足 数据 中 心 在 高 带宽 、 高 并 发 高 春 吐 条 件 下 安全 的 数据 交换 ,确保 数据 中 心 
关键 业务 7X24 不 中 断 ,出 口 防火 墙 需要 在 提供 更 高 安全 性 的 同时 提高 性 能 ,同时 可 以 在 
极端 条 件 下 稳定 运行 。 

2) 数据 中 心 出 口 安全 风险 

数据 中 心 通常 使 用 大 量 服务 器 支撑 企业 的 业务 系统 ,而 当前 操作 系统 、 应 用 的 高 危 安 
全 漏洞 频 发 ,对 成 千 上 万 台 服 务 器 进行 漏洞 修补 在 短期 内 很 难 完成 。 而 且 漏洞 修补 引起 
的 配置 变更 可 能 会 引发 业务 风险 。 所 以 基于 服务 器 的 漏洞 修补 对 于 数据 中 心 几乎 是 一 个 
不 可 能 完成 的 任务 。 同 时 间谍 软件 窃取 重要 信息 控制 服务器 成 为 僵尸 主机 等 行为 对 数 
据 中 心 造成 的 危害 也 越 来 越 大 。 在 服务 器 端 大 规模 部 署 反 间谍 软件 会 带 来 配置 、 维 护 、 更 
新 及 TCO 等 问题 ,需要 另外 制定 切实 可 行 的 防护 措施 ,作为 基于 服务 器 间谍 软件 防御 的 
有 效 补 充 。 

在 数据 中 心 出 口 需要 将 多 种 安全 防护 机 制 有 机 结合 ,打破 传统 安全 设备 各 自 为 战 的 
被 动 局 面 ,在 数据 中 心 出 口 将 安全 风险 阻拦 在 外 ,避免 关键 业务 中 断 及 重大 安全 事件 。 

3) 精准 发 现 失陷 服务 器 并 快速 处 理 

数据 中 心 IT 业务 使 用 、 产 生 的 数据 是 非常 重要 的 IT 资产 ,结合 这 些 服务 器 暴露 在 
网 络 上 的 特点 ,使 数据 中 心 必然 成 为 高 价值 的 攻击 目标 。 在 面 对 当 前 以 窃取 重要 数据 为 
目的 ,以 经 济 利益 为 驱动 的 高 级 .隐蔽 的 攻击 手段 ,传统 以 静态 、 被 动 . 防 御 为 导向 的 安全 
防护 体系 无 能 为 力 。 

当前 网 络 安全 形势 与 挑战 日 益 严峻 复杂 ,安全 体系 建设 需要 从 防范 为 主 转向 快速 检 
测 和 响应 能 力 的 构建 ,利用 威胁 情报 .异常 行为 识别 .大 数据 分 析 等 技术 ,主动 .快速 .持续 
地 发 现 数据 中 心 存在 的 失陷 服务 器 ,同时 还 原 失 陷 全 过 程 ,准确 锁定 攻击 链条 ,及 时 做 出 
响应 处 置 。 

4) 业务 系统 间 强 隔离 需求 

数据 中 心 承载 企业 多 个 业务 系统 .而 不 同业 务 系统 的 安全 等 级 可 能 会 有 差别 ,如 企业 
的 核心 生产 系统 与 CRM 系统 的 安全 等 级 肯定 有 高 低 之 分 。 如 果 不 在 各 个 业务 系统 之 间 
实现 强 隔离 ,那么 很 有 可 能 在 低 安全 等 级 业务 系统 被 攻破 后 ,作为 跳板 攻击 高 安全 等 级 业 
务 系统 。 为 了 避免 上 述 的 情况 出 现 ,为 不 同 的 业务 系统 采用 物理 强 隔 离 的 方式 ,势必 会 增 
大 企业 投入 ,而 且 会 极 大 地 增加 运 维 、 管 理 复杂 度 。 

如 果 数 据 中 心 管理 人 员 仅 仅 关注 通过 隔离 减 小 数据 中 心 内 部 安全 风险 的 影响 面 , 却 
忽略 了 来 自 外 部 的 安全 风险 ,显然 是 顾此失彼 .。“ 强 ”与 “隔离 "是 紧密 耦合 的 ,应 该 在 实现 
业务 系统 间隔 离 的 基础 上 ,实现 强 安 全 有 效 性 ,防御 来 自 内 外 部 的 安全 风险 。 
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5.3.2 ”解决 方案 及 分 析 


1. 解决 方案 

360 新 一 代 智 慧 防火 墙 在 提供 复杂 环境 组 网 ,扫描 攻击 防御 和 虚拟 系统 等 功能 的 基 
础 上 ,深度 集成 了 漏洞 防御 、 间 谍 软 件 防御 、 失 陷 服 务 器 检测 等 高 级 安全 防护 功能 ,快速 构 
建 基于 威胁 情报 、 态 势 感知 、 智 能 协同 、 安 全 可 视 化 等 新 一 代 技 术 的 安全 防护 解决 方案 。 

在 数据 中 心 出 口 使 用 场景 中 ,通过 HA 组 的 方式 部 署 360 智慧 防火 墙 ,在 提供 高 性 
能 安全 防护 的 同时 ,提高 防火 墙 的 可 用 性 。 并 且 通 过 虚拟 系统 实现 业务 间 的 强 隔 离 。 除 
此 之 外 ,以 360 新 一 代 智 慧 防火 墙 为 核心 与 多 种 安全 组 件 集成 ,形成 “ 云 -地 ”协同 、 联 动 的 
安全 体系 ,覆盖 了 自 适应 安全 结构 定义 的 预测 防御 ,检测 、 响 应 能 力 ,满足 数 据 中 心 全 方 
位 安全 防护 的 要 求 。 企 业 级 数据 中 心 出 口 防护 解决 方案 拓扑 如 图 5-3 所 示 。 


FF 
图 5-3 企业 级 数据 中 心 出 口 防护 方案 拓扑 


1) 数据 中 心 出 口 高 性 能 双 机 部 署 

360 拥有 完备 的 智慧 防火 墙 产品 线 , 转 发 速率 为 4 一 160Gb/s、HTTP 每 秒 新 建 连接 
个 数 为 3 万 一 160 万 ,并 发 数 为 180 万 一 5000 万 ,基于 安全 性 能 的 不 同 ,覆盖 不 同 规模 的 
企业 数据 中 心 应 用 场景 。 智 慧 防火 墙 支持 路 由 模式 和 桥 模式 的 HA。 在 路 由 模式 下 , 采 
用 SGRP 路 由 宛 余 备份 协议 ,实现 双 主 的 路 由 负载 均衡 和 主 备 的 路 由 宛 余 备份 两 种 模 
式 。 透 明 模式 下 ,支持 通过 生成 树 协议 完成 桥 模式 的 HA 宛 余 备份 和 快速 切换 。 两 种 
HA 模式 中 ,智慧 防火 墙 间 的 会 话 、 威 胁 情 报 `VPN 隧道 等 信息 完全 同步 ,在 一 台 防 火 墙 
出 现 问题 时 , 另 一 台 可 以 及 时 接管 所 有 工作 ,向 用 户 提供 毫秒 级 快速 完全 透明 的 切换 , 提 
高 网 络 服务 质量 。 
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HA 组 的 配置 决定 了 当前 配置 的 防火 墙 工作 在 MASTER ( 主 ) 状 态 还 是 BACKUP 
( 备 ) 状 态 ,以 及 哪些 信息 需要 在 主 备 防火 墙 之 间 同 步 。 

HA 接口 监控 、 链 路 探测 是 高 可 用 性 模块 中 提供 的 防火 墙 状态 切换 可 选 功能 。 主 要 
通过 探测 用 户 配置 的 监控 接口 当前 的 状态 是 否 正常 和 探测 用 户 配置 的 IP 地 址 当前 是 否 
能 够 连通 ,并 在 接口 或 在 IP 地 址 失效 的 情况 下 ,根据 用 户 配置 的 优先 级 扣 减 权重 值 ,判断 
防火 墙 目前 是 否 继续 工作 。 

在 数据 中 心 出 口 ,选择 符合 业务 规模 的 智慧 防火 墙 双 机 HA 部 署 ,在 提供 高 性 能 、 高 
可 用 性 的 同时 ,满足 安全 防护 性 能 要 求 ,确保 业务 应 用 的 高 质量 交付 。 

2) 实现 数据 中 心 出 口 全 方位 的 威胁 防御 

智慧 防火 墙 深度 集成 漏洞 防御 、 间 谍 软 件 防御 等 应 用 层 安全 功能 ,通过 单 引 擎 一 次 性 
数据 处 理 对 穿越 数据 中 心 出 口 的 所 有 流量 进行 深度 威胁 检测 。 

启用 智慧 防火 墙 的 漏洞 防御 功能 可 对 缓冲 区 溢出 、 跨 站 脚本 .拒绝 服务 等 3000 余 种 
漏洞 利用 攻击 进行 防御 。 

智慧 防火 墙 内 置 的 防 间谍 软件 功能 可 以 对 500 余 万 种 间谍 软件 实现 防御 ,利用 双向 
拦截 C&C( 命 令 与 控制 ) 通 信和 ,避免 失陷 服务 器 进一步 造成 危害 。 作 为 漏洞 防御 有 效 的 补 
充 , 除 了 预防 木马 后 门 ,病毒 蠕虫 . 伪 尸 网 络 以 外 ,还 支持 以 自 定义 签名 的 方式 识别 间谍 软 
件 的 特征 。 

智慧 防火 墙 可 以 与 天 御 云 协同 ,利用 云端 特征 库 作为 本 地 特征 库 的 扩展 , 极 大 地 提升 
整体 漏洞 攻击 特征 库 中 信息 的 数量 级 。 并 且 天 御 云 将 最 新 爆发 的 漏洞 .间谍 软件 信息 实 
时 推送 给 智慧 防火 墙 ,加 快 防火 墙 对 威胁 的 识别 速度 ,提高 拦截 的 实时 性 、 精 确 度 。 

智慧 防火 墙 通过 漏洞 防御 功能 ,将 漏洞 引发 的 安全 风险 阻拦 在 数据 中 心 外 部 ,有 效 解 
决 服务 器 难以 修复 漏洞 的 困难 。 智 慧 防火 墙 与 防 间谍 软件 功能 的 结合 ,进一步 提升 了 其 
威胁 检 出 能 力 ,确保 数据 中 心服 务 器 安全 。 

3) 精准 发 现 失陷 服务 器 并 及 时 处 置 

智慧 防火 墙 上 报 的 日 志 数 据 被 送 至 天 御 云 大 数据 分 析 引 擎 ,从 中 提取 网 络 内 服务 器 
的 行为 数据 ,一 方面 通过 大 数据 技术 挖掘 偏离 正常 基线 的 异常 行为 , 另 一 方面 将 本 地 行为 
数据 与 威胁 情报 进行 匹配 对 撞 , 从 多 个 维度 检测 网 内 的 失陷 服务 器 。 

智慧 防火 墙 提供 情境 分 析 日志 搜索 等 服务 ,用 于 攻击 事件 的 分 析 、 取 证 和 回溯 。 在 
安全 事件 发 生 之 后 ,在 智慧 防火 墙 分 析 中 心 通过 递 进 式 的 查询 ,可 以 快速 钼 取 某 类 威胁 的 
相关 信息 ,并且 将 智慧 防火 墙 各 个 功能 模块 报告 的 信息 关联 集中 ,呈现 攻击 发 生 的 全 过 
程 ,为 管理 人 员 进 行 快速 的 攻击 事件 关联 分 析 、 取 证 \、 回 溯 提 供 有 力 的 帮助 。 

同时 智慧 防火 墙 可 以 根据 失陷 服务 器 检测 结果 一 键 处 置 失陷 服务 器 。 

根据 失陷 服务 器 报告 ,利用 处 置 中 心 的 “一 键 处 置 ” 功 能 ,可 以 快速 地 基于 失陷 服务 器 
(处 置 受害 IP 地 址 , 即 隔离 某 个 IP 地 址 所 有 的 网 络 访问 ) 或 者 IOC 情报 (处 置 IOC, 即 阻 
断 所 有 IP 地 址 访问 已 确认 的 攻击 源 ) 动 态 生 成 安全 防护 策略 。 使 管理 员 可 以 高 效 、 快 捷 
地 响应 安全 事件 ,在 数据 中 心 内 部 和 外 部 阻拦 安全 风险 。 

通过 天 御 云 云 镜 与 智慧 防火 墙 的 智能 协同 ,利用 云端 海量 的 运算 和 存储 资源 ,对 智 
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慧 防 火 墙 上 报 的 数据 执行 深度 分 析 和 情报 检测 ,并 利用 图 形 化 的 界面 呈现 ,帮助 数据 
中 心 管理 人 员 感 知 当 前 漏洞 爆发 趋势 等 安全 态势 ,预测 可 能 发 生 的 安全 风险 ,提前 做 
出 应 对 。 

4) 通过 虚拟 系统 实现 强 隔 离 

智慧 防火 墙 的 虚拟 系统 功能 可 以 将 防火 墙 虚拟 成 多 个 相互 隔离 并 独立 运行 的 虚拟 系 
统 , 每 一 个 虚拟 系统 都 可 以 提供 定制 化 .独立 的 安全 防护 功能 。 并 且 实 现 并 发 会 话 数 量 、 
安全 策略 数量 ,NAT 条目 数量 等 系统 资源 在 不 同 虚拟 系统 之 间 动 态 调配 ,实现 防火 墙 性 
能 的 最 大 化 利用 。 

通过 在 各 个 虚拟 系统 上 启用 漏洞 防御 、 间 谍 软 件 防御 等 功能 ,在 实现 不 同业 务 间 强 隔 
离 的 基础 上 ,提供 基于 数据 中 心 出 口 的 高 级 威胁 防御 。 


2. 用 户 价值 

1) 优越 的 高 性 能 、 高 可 用 性 架构 设计 

通过 使 用 第 四 代 SecOS 操作 系统 、 单 引擎 异步 并 行 处 理 架 构 及 优化 的 接口 数据 收发 
机 制 ,保证 360 新 一 代 智慧 防火 墙 在 数据 中 心 大 流量 、 高 春 吐 、 多 安全 功能 开启 的 情况 下 
始终 保持 高 性 能 。SecOS 采用 管理 平面 与 数据 平面 分 离 的 软件 设计 ,即使 管理 平面 出 现 
故障 ,也 不 会 影响 数据 平面 的 转发 功能 。 智 慧 防火 墙 也 可 以 安装 不 同 版 本 的 SecOS, 可 以 
在 各 个 版 本 间 自 由 切换 ,从 多 方面 保障 了 系统 的 稳定 性 。 

2) 超 强 的 威胁 识别 及 响应 能 力 

基于 360 深厚 的 攻防 研究 储备 和 安全 大 数据 能 力 ,智慧 防火 墙 可 以 对 3000 多 种 漏洞 
利用 攻击 、500 余 万 种 间谍 软件 进行 防御 。 同 时 本 地 特征 库 可 以 与 云端 联动 ,360 在 发 
现 安 全 威胁 后 ,第 一 时 间 推 出 关于 安全 威胁 的 行为 .异常 .特征 等 关键 信息 ,通过 云端 
实时 更 新 的 方式 推送 到 智慧 防火 墙 ,确保 在 数据 中 心 出 口 快速 拦截 ,精准 阻 断 最 新 的 
安全 威胁 。 

3) 基于 威胁 情报 及 时 、 主 动 发 现 失陷 服务 器 

基于 多 手段 的 安全 数据 采集 和 深入 分 析 ,得 益 于 情报 共享 的 生态 体系 ,360 具备 全 球 
领先 的 威胁 情报 生产 能 力 , 并 将 此 能 力 应 用 在 天 御 云 上 。 数 据 中 心 出 口 部 署 的 智慧 防火 
墙 利用 天 御 云 推送 的 威胁 情报 ,将 确认 已 失陷 或 有 风险 行为 的 服务 器 信息 详情 推送 到 处 
置 中 心 ,用 户 可 以 查看 失陷 服务 器 的 详细 信息 ,并 一 键 处 置 失陷 服务 器 。 数 据 中 心 管理 员 
可 以 从 分 析 中 心 ,数据 中 心中 自行 定位 并 快速 处 置 网 络 中 的 失陷 服务 器 。 

4) 实现 全 部 安全 功能 的 虚拟 系统 

在 智慧 防火 墙 内 部 ,虚拟 系统 完全 复制 物理 防火 墙 的 安全 防护 能 力 , 如 漏洞 防御 、 间 
谍 软 件 防御 .失陷 服务 器 检测 及 处 置 等 功能 。 而 且 可 以 根据 业务 的 安全 需求 ,针对 不 同 的 
虚拟 系统 局 用、 配置 不 同 的 高 级 安全 防护 功能 。 虚 拟 系统 之 间 完 全 隔离 ,确保 每 个 虚拟 系 
统 独立 工作 稳定 运行 。 并 且 虚 拟 系统 可 以 与 物理 防火 墙 HA 功能 完美 结合 ,提高 虚拟 
系统 的 可 用 性 。 
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5.4 多 分 支 企 业 组 网 及 网 络 安全 解决 方案 


5.4.1 背景 及 需求 


1. 应 用 背景 

随 着 “互联 网 十 ”技术 的 不 断 发 展 ,现代 企业 的 经 营 范围 在 地 域 上 不 断 延 展 ,为 了 实现 
产品 、 服 务 等 业务 的 覆盖 ,往往 在 总 部 以 外 的 地 域 建立 分 支 机 构 , 例 如 大 型 企业 驻 各 地 的 
分 公司 ,新 金融 企业 的 社区 轻型 营业 部 、 连 锁 型 的 商场 、 超 市 餐饮 和 酒店 等 , 均 是 典型 的 多 
分 支 企 业 。 

由 于 业务 量 大 、 地 域 分 散 , 信 息 技术 的 运用 成 为 保障 此 类 企业 内 部 信息 高 效 流转 的 重 
要 途径 ,将 众多 分 支 机 构 与 企业 总 部 以 安全 、 高 性 价 比 的 方式 进行 连接 ,从 而 构建 多 分 支 
企业 专 有 的 内 联网 ,并 保证 其 安全 稳定、 可 靠 地 承载 企业 办 公 、 管 理 、 业 务 相关 的 诸多 信 
息 化 应 用 ,成 为 多 分 支 企 业 运营 过 程 中 的 普遍 性 刚 需 。 

然而 ,受制 于 资金 .技术 等 多 方面 因素 ,企业 与 分 支 机 构 、 供 应 商 、 合 作 伙伴 之 间 的 互 
联 仍 存在 安全 方面 的 诸多 困扰 : 

(1) 仍 有 相当 一 部 分 多 分 支 企业 将 业务 应 用 直接 开放 在 互联 网 上 供 分 支 机 构 、 远 程 
办 公 人 员 甚 至 合作 伙伴 访问 ,无 异 于 “门户 大 开 ”。 业 务 系统 被 恶意 攻击 者 扫描 、 锁 定 为 目 
标 后 ,成功 实施 “ 拖 库 ”、 远 程控 制 等 一 系列 攻击 ,导致 企业 直接 的 经 济 损失 。 

(2) 不 少 多 分 支 企 业 利用 互联 网 建立 VPN 虚拟 隧道 ,解决 了 分 支 机 构 之 间 数 据 加 密 
传输 的 问题 ,但 却 玖 于 对 互联 网 威胁 的 防御 。 用 户 在 上 网 过 程 中 遭受 恶意 攻击 的 概率 极 
高 ,恶意 程序 一 旦 被 植 人 终端 ,又 通过 VPN 隧道 向 更 大 的 范围 内 扩散 ,危及 企业 的 核心 
数据 。 

(3) 分 支 机 构 未 配备 专职 的 IT 安全 管理 人 员 ,相当 数量 的 分 支 机 构 IT 系统 处 于 “无 
人 值守 ?状态 ,造成 全 网 安全 管理 ,防御 强度 不 一 致 ,分 支 机 构 网 络 成 为 攻击 者 更 容易 突破 
的 “防御 短 板 ”, 一 些 高 级 威胁 利用 被 攻陷 的 分 支 机 构 系 统 作为 跳板 ,进而 继续 攻击 企业 内 
部 的 核心 资产 。 


2. 用 户 需求 

1) 总 部 与 分 支 安全 互联 

当前 ,多 分 支 企业 及 其 各 分 支 机 构 基 本 上 已 构建 了 其 自 有 的 局 域 网 ,并 普遍 接 入 互联 
网 ,为 了 满足 业务 的 实时 交互 ,需要 为 多 分 支 企业 构建 一 个 安全 可 靠 、 成 本 低廉 的 企业 专 
网 ,应 着 重 考虑 和 解决 的 问题 包括 : 

(1) 安全 性 与 成 本 。 如 何 安 全 组 网 ;在 有 限 资 本 投入 的 情况 下 ,如 何 利 用 现 有 互联 网 
技术 实现 虚拟 专 网 ,确保 数据 传输 过 程 不 被 瓷 取 和 监听 。 

(2) 架构 的 灵活 性 。 不 仅 要 满足 分 支 机 构 的 互联 ,同时 应 考虑 移动 办 公安 全 接 入 的 
需求 ,出 差 .SOHO、 驻 外 的 企业 员工 能 够 不 受 地 理 位 置 的 限制 ,便捷 、 安 全 地 利用 互联 网 
访问 企业 内 部 业务 系统 。 
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(3) 高 可 用 性 。 出 于 承载 核心 业务 的 考虑 , 专 网 应 确保 高 可 用 性 ,为 分 支 机 构 、 移 动 
用 户 ,合作 伙伴 提供 不 间断 的 内 网 访问 环境 。 

2) 全 面 防御 互联 网 威胁 

由 于 互联 网 的 接 入 ,将 企业 和 分 支 机 构 网 络 分 为 内 网 和 互联 网 两 个 安全 级 别 完全 不 
同 的 安全 域 ,互联 网 边界 也 成 为 整个 IT 防护 系统 的 第 一 道 和 最 后 一 道 防线 ,并 直接 影响 
到 企业 专 网 的 安全 性 , 需 解决 的 问题 包括 : 

(1) 应 能 防御 用 户 在 访问 互联 网 过 程 中 所 引入 的 风险 ,例如 恶意 网 址 和 钓鱼 链接 访 
问 、 恶 意 程 序 植 入 等 。 

(2) 需 在 业务 流量 进入 专 网 前 对 流量 进行 深度 的 威胁 检测 ,避免 互联 网 威胁 向 专 网 
渗透 ,导致 业务 系统 被 攻击 。 

3) 内 部 风险 的 实时 洞察 

企业 网 开放 、 灵 活 的 特性 决定 了 其 引入 风险 的 通道 较 多 ,尤其 是 在 当前 安全 风险 事件 
高 发 的 大 环境 下 ,即便 已 经 在 网 络 边界 层 层 设防 ,一 旦 遭遇 高 级 攻击 ,失陷 几乎 仍 是 必然 
结果 。 多 分 支 企业 IT 系统 用 户 规模 庞大 ,在 做 好 攻击 防御 措施 的 同时 ,应 格外 关注 对 内 
部 风险 的 检测 ,尤其 是 对 于 企业 网 内 已 被 攻陷 或 疑似 失陷 的 系统 ,应 做 到 及 时 发 现 、 高 效 
研判 和 尽早 处 置 。 

4) 实现 全 网 的 统一 管理 

由 于 多 分 支 企业 的 分 支 机 构 众 多 ,地 域 分 布 广泛 , 且 缺 乏 专 职 IT 安全 管理 人 员 , 而 
总 部 IT 部 门 往往 是 由 几 个 人 负责 整个 网 络 系统 的 维护 工作 ,由 于 网 络 运 行 、 维 护 、 升 级 、 
抢修 等 事务 性 工作 繁重 且 不 确定 性 强 ,IT 管理 人 员 通 常 无 暇 顾及 分 支 机 构 的 安全 管理 和 
技术 落地 。 企 业 专 网 的 构建 无 疑 会 引入 更 多 的 组 网 和 安全 设备 ,应 充分 考虑 通过 集中 管 
理 提 升 全 网 安全 性 和 管理 水 平 , 包 括 : 

(1) 统一 监控 。 实 时 掌握 设备 运行 状态 、 链 路 状态 、 当 地 网 络 的 安全 状况 等 信息 , 便 
于 发 现 异 常 及 时 处 置 。 

(2) 统一 配置 。 将 统一 的 安全 策略 自动 化 批量 地 运用 在 各 分 支 机 构 ,确保 各 地 安全 
防护 强度 一 致 。 

(3) 统一 运 维 。 能 够 自动 完成 全 网 设备 升级 、 特 征 库 更 新 等 工作 。 


5.4.2 ”解决 方案 及 分 析 


1. 解决 方案 

360 新 一 代 智慧 防火 墙 是 一 款 兼 具 复 杂 环 境 组 网 、 深 度 应 用 识别 ,精细 化 访问 控制 以 
及 高 性 能 应 用 层 威胁 防御 等 能 力 , 并 集成 了 互联 网 威胁 情报 、 异 常 行为 分 析 、 安 全 可 视 化 
等 新 一 代 安 全 技术 的 创新 型 边界 安全 产品 ,可 为 多 分 支 企业 提供 一 体 化 的 安全 组 网 和 边 
界 防护 解决 方案 。 

如 图 5-4 所 示 ,通过 在 企业 总 部 和 各 分 支 机 构 互 联网 边界 部 署 智慧 防火 墙 , 可 帮助 多 
分 支 企业 实现 安全 组 网 ,边界 防护 ,并 通过 与 部 署 在 总 部 的 安全 管理 分 析 中 心 和 云端 的 云 
镜 网 络 威胁 感知 中 心 协同 ,充分 满足 多 分 支 企业 安全 设备 集中 管理 和 内 网 威胁 洞察 的 
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图 5-4 多 分 支 企 业 组 网 及 网 络 安全 解决 方案 拓扑 


1) 构建 企业 VPN 网 络 

通过 在 总 部 和 分 支 机 构 互 联网 边界 部 署 智慧 防火 墙 ,并 通过 防火 墙 在 总 部 与 分 支 间 
建立 IPSec VPN 隧道 ,实现 站 到 站 的 虚拟 网 络 互联 ,构建 企业 VPN 网 络 ,满足 各 分 支 机 
构 与 总 部 的 数据 交互 需求 。VPN 组 网 拓扑 如 图 5-5 所 示 。 


—--—— IPSecVPN 
图 5-5 VPN 组 网 拓扑 


利用 智慧 防火 墙 提供 的 SSL VPN 功能 .为 远程 接 入 人 员 ( 例 如 出 差 途 中 、 在 家 办 公 、 
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微型 分 支 机 构 、 驻 外 用 户 ) 提 供 加 密 的 远程 访问 VPN 通道 ,使 此 类 用 户 通 过 简单 的 网 页 
登录 在 公司 外 部 以 加 密 的 方式 访问 企业 的 应 用 数据 。 

此 外 , 接 和 人 智慧 防火 墙 的 多 条 互联 网 链 路 可 绑 定 至 多 条 VPN 隧道 ,通过 灵活 的 控制 
实现 多 VPN 隧道 元 余 备 份 , 以 提升 VPN 网 络 的 可 用 性 。 

2) 启用 全 方位 攻击 防御 

智慧 防火 墙 深度 集成 病毒 防御 ,漏洞 防御 、 间 谍 软 件 防 御 、 恶 意 URL 防御 等 功能 ,并 
基于 优越 的 架构 设计 保障 高 性 能 的 安全 功能 交付 。 

通过 在 总 部 及 各 分 支 机 构 的 智慧 防火 墙 上 启用 入 侵 防 御 (IPS) 病毒 防御 (AV) 等 功 
能 ,对 互联 网 访问 流量 进行 深度 威胁 检测 ,严防 内 网 用 户 访问 挂 马 网 站 钓鱼 链接 的 行为 ， 
在 网 络 边界 阻 断 恶意 程 序 植 人 及 远程 控制 通道 。 同 时 ,业务 流量 在 进入 VPN 隧道 前 ,也 
将 经 过 严格 的 检测 ,进一步 降低 恶意 攻击 流量 在 网 内 蔓延 的 风险 。 

3) 实时 检测 内 部 失陷 主机 

为 了 进一步 提升 用 户 对 网 络 边界 威胁 的 感知 能 力 , 部 署 于 各 地 的 智慧 防火 墙 可 启用 
与 云 镜 网 络 威胁 感知 中 心 的 智能 协同 。 

“ 云 镜 ?是 智慧 防火 墙 用 户 专属 的 、 基 于 公有 云 的 安全 服务 ,利用 云端 海量 的 运算 和 存 
储 资源 以 及 威胁 情报 ,对 用 户 网 络 数据 进行 复杂 逻辑 的 分 析 检 测 ,可 精准 定位 用 户 网 内 已 
被 攻陷 的 主机 ,及 时 发 现 ,尽早 处 置 。 

4) 构建 全 网 的 集中 管理 平台 

安全 管理 分 析 中 心 (SMAC) 是 智慧 防火 墙 的 集中 管理 平台 ,可 对 数 百 台 智慧 防火 墙 
进行 分 权 分 域 的 集中 管理 ,实现 全 网 设备 统一 监控 、 统 一 管理 和 统一 运 维 。 

通过 在 总 部 部 署 SMAC 系统 ,可 提供 针对 全 网 智慧 防火 墙 的 设备 运行 状态 监控 、 安 
全 配置 违规 核查 ` 安 全 策略 批量 下 发 ,威胁 特征 统一 升级 等 诸多 智能 化 运 维 管理 功能 , 构 
建 全 网 的 统一 安全 管理 平台 ,可 大 幅 提升 全 网 设备 的 管理 效率 并 确保 全 网 安全 的 一 致 性 
原则 切实 落地 。 


2. 用 户 价值 

1) 便捷 ,灵活 的 VPN 组 网 方案 

智慧 防火 墙 支持 多 种 形式 的 IPSec VPN 组 网 ,适用 于 不 同 的 互联 网 接 人 环境 ,并 可 
通过 灵活 的 多 隧道 元 余 备份 机 制 进一步 提升 其 可 用 性 。 同 时 ,其 为 移动 办 公用 户 提 供 的 
SSL VPN 接 入 服务 具备 操作 简单 、 安 全 性 高 .稳定 可 靠 的 特点 ,可 充分 满足 多 分 支 企 业 利 
用 VPN 组 网 的 需求 。 

2) 云端 协 防 提升 攻击 防御 能 力 

除了 本 地 内 置 的 安全 引擎 和 高 质量 威胁 签名 以 外 ,智慧 防火 墙 还 可 与 其 专 有 的 天 御 
云 进行 实时 协同 。 天 御 云 是 基于 公有 云 构建 的 智慧 防火 墙 安全 服务 平台 ,持续 为 智慧 防 
火 墙 提 供 病毒 云 查 杀 恶意 URL 云 过 滤 、 威 胁 特征 推送 、 威 胁 情 报 检测 等 高 级 功能 的 支 
撑 , 利 用 云端 掌握 的 海量 、 实 时 威胁 特征 ,可 进一步 提升 智慧 防火 墙 的 威胁 检 出 能 力 。 

3) 基于 威胁 情报 的 失陷 主机 检测 

基于 多 手段 的 安全 数据 采集 和 深入 分 析 , 并 得 益 于 情报 共享 的 生态 体系 ,360 具备 全 
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球 领 先 的 威胁 情报 生产 能 力 。 通 过 云 镜 网 络 威胁 感知 中 心 ,企业 用 户 可 实时 预警 网 内 失 
陷 主机 ,与 传统 基于 静态 特征 的 检测 技术 相 比 , 云 镜 利用 威胁 情报 与 本 地 行为 数据 进行 对 
撞 的 检测 方式 ,能 够 更 有 效 地 发 现 高 级 威胁 控制 的 失陷 主机 。 通 过 感知 能 力 的 提升 , 进 一 
步 消除 了 安全 防护 的 盲区 。 

4) 多 种 策略 批量 下 发 

基于 SMAC 构建 的 集中 管理 平台 在 满足 全 网 监控 等 基本 需求 的 同时 ,可 实现 安全 策 
略 、SSL 解密 策略 、 黑 白 名 单 .会话 限制 等 多 种 安全 规则 的 批量 下 发 ,真正 实现 了 全 网 统 


一 的 安全 管理 。 
(1) 简 述 企业 互联 网 边界 安全 解决 方案 。 


(2) 简 述 行业 专 网 网 络 安 全 解决 方案 。 

(3) 简 述 数据 中 心 出 口 安 全 风险 。 

(4) 如 何 精准 发 现 失陷 服务 器 并 快速 处 理 ? 

(5) 如 何 实现 包含 全 部 安全 功能 的 虚拟 系统 ? 

(6) 多 分 支 企业 组 网 及 网 络 安全 解决 方案 的 优势 及 亮点 有 哪些 ? 
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ACL Access Control List 访问 控制 列表 

AD Active Directory 活动 目录 

AH Authentication Header 认证 报头 

ALG Application Level Gateway 应 用 层 网 关 

APT Advanced Persistent Threat 高 级 持续 性 威胁 

ARP Address Resolution Protocol 地 址 解析 协议 

AV Anti Virus 抗 病毒 

BGP Border Gateway Protocol 边界 网 关 协 议 

BOOTP Bootstrap Protocol 引导 程序 协议 

CC Challenge Collapsar 挑战 黑洞 

CPU Central Processing Unit 中 央 处 理 单元 

CRM Customer Relationship Management 客户 关系 管理 
DBA Dynamically Bandwidth Assignment 动态 带宽 分 配 
DDoS Distributed Denial of Service 分 布 式 拒绝 服务 攻击 
DFI Deep Flow Inspection 深度 流 检 测 

DHCP Dynamic Host Configuration Protocol 动态 主机 配置 协议 
DMZ Demilitarized Zone 非 军事 区 

DNS Domain Name System ”域名 系统 

DoS Denial of Service 拒绝 服务 攻击 

DPI Deep Packet Inspection 深度 报 文 检测 

EGP Exterior Gateway Protocol 外 部 网 关 协 议 

ERP Enterprise Resource Planning 企业 资源 计划 

ESP ” Encapsulated Security Payload 封装 安全 有 效 负载 
FTP File Transfer Protocol 文件 传输 协议 

Gb/s Gigabits per second 吉 比 特 每 秒 

HA High Availability 高 可 用 性 

HTTP HyperText Transfer Protocol 超 文本 传输 协议 
HTTPS HTTP Secure 超 文本 传输 协议 安全 

ICMP Internet Control Message Protocol 互联 网 控制 报 文 协议 
IDC ”International Data Corporation 国际 数据 公司 
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IGP Interior Gateway Protocol 内 部 网 关 协 议 

IKE Internet Key Exchange Protocol 互联 网 密 钥 交换 协议 

IMAP Internet Message Access Protocol 互联 网 消息 访问 协议 

IOC Indicator of Compromise 人 和信 侵 指 示 标 记 

IP JInternet Protocol 互联 网 协议 

IPS Intrusion Prevention System 人 入侵 防 御 系 统 

ISAKMP Internet Security Association and Key Management Protocol 互联 网 安全 协 
会 和 密 钥 管理 协议 

ISP ”Internet Service Provider 互联 网 服务 提供 商 

L2F Layer 2 Forwarding 二 层 转发 

L2TP Layer 2 Tunneling Protocol 二 层 隧道 协议 

LACP Link Aggregation Control Protocol 链 路 聚合 控制 协议 

LACPDU Link Aggregation Control Protocol Data Unit 链 路 聚合 控制 协议 数据 单元 

LDAP Lightweight Directory Access Protocol 轻 量 目录 访问 协议 

LSA ”Link-State Advertisement 链 路 状态 广播 

Mb/s Megabits per second 兆 比 特 每 秒 

MRTI Machine-Readable Threat Intelligence 可 机 读 威胁 情报 

NAS Network Access Server 网 络 访问 服务 

NAT Network Address Translation 网 络 地 址 转换 

NAT-PT Network Address Translation-Protocol Translation 附带 协议 转换 器 的 网 络 
地 址 转换 器 

NDR Network Detection Response 网 络 的 检测 与 响应 

NGFW Next Generation Firewall 下 一 代 防 火 墙 

NT New Technology 新 技术 

OSPF Open Shortest Path First 开放 最 短路 径 优先 

PAT Port Address Translation 端口 地 址 转换 

POP Post Office Protocol ”邮局 协议 

PPS Packets per second 数据 包 每 秒 

PPTP Point-to-Point Tunneling Protocol 点 对 点 隧道 协议 

QoS Quality of service 服务 质量 

RADIUS Remote Authentication Dial In User Service 远程 认证 拨 入 用 户 服务 

RBL Real-time Blackhole List 实时 黑 名 单 

RIP Routing Information Protocol 路 由 信息 协议 

RIR Regional Internet Registry 区 域 性 互联 网 注册 机 构 

SA ”Security Association ”安全 联盟 

SID Security Identifier 安全 标识 符 

SIIT Stateless IP/ICMP Translation 无 状态 IP/ICMP 转换 

SMAC Security Management Analysis Center 安全 管理 分 析 中 心 
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SMTP Simple Mail Transfer Protocol 简单 邮件 传输 协议 
SQL Structured Query Language 结构 化 查询 语言 

SSH Secure Shell 安全 外 壳 协议 

SSL ”Secure Sockets Layer 安全 套 接 层 

TCO Total Cost of Ownership 总 拥有 成 本 

TCP Transmission Control Protocol 传输 控制 协议 

TI Threat Intelligence 威胁 情报 

UDP User Datagram Protocol 用 户 数 据 报 协议 

UI User Interface 用 户 界面 

URI Universal Resource Identifier 统一 资源 标识 符 
URL Uniform Resource Locator 统一 资源 定位 符 

UTM United Threat Management 统一 威胁 管理 

VLAN Virtual LAN 虚拟 局 域 网 

VPN Virtual Private Network 虚拟 专用 网 络 

VRRP Virtual Router Redundancy Protocol 虚拟 路 由 元 余 协 议 
WAF Web Application Firewall Web 应 用 防火 墙 
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